🛡️ Configuració de Seguretat: Firewall
Aquest document detalla les polítiques de seguretat de xarxa i les regles d'accés per al servidor ymir.uab.cat.
1. Zones de Seguretat Actives
El firewall es divideix en zones segons l'origen del trànsit:
public: Interfícies externes (team0). Zona més restrictiva.libvirt: Interfícies de xarxa virtual (virbr0). Permet trànsit de gestió per a VMs.podmanXX: Interfícies de xarxa virtual (podman0, podman1). Permet trànsit de gestió per contenidors.
2. Ports Permesos (Polítiques del Datacenter)
S'han habilitat els ports d'acord amb la reserva del datacenter (8000-8030) i serveis estàndard:
| Port/Servei | Protocol | Descripció |
|---|---|---|
| 22 (SSH) | TCP | Accés remot segur |
| 80, 443 | TCP | Trànsit Web (HTTP/S) |
| 9090 | TCP | Administració Cockpit |
| 8000-8028 | TCP | Ports de Contenidors i de serveis en vms's segons ordre de creació (DBs, Elastic, Registry) |
| 8028-8030 | TCP | Rang reservat per a instàncies de prova |
3. Forwarding i NAT (Accés a VMs)
El firewall redirigeix trànsit extern cap a la capa de virtualització interna:
Host:8004->192.168.122.11:9030servidor sql de StarrocksHost:8002->192.168.122.11:8030mètriques de monitorització de StarRocks- Masquerading: Actiu (permet que VMs i contenidors utilitzin l'IP del host per sortir a internet).
4. Serveis d'Analítica Exposats
L'accés als contenidors de dades està normalitzat sota la zona public:
- MongoDB: Port 8000
- MySQL: Port 8001
- ElasticSearch: Port 8008
- registry: Port 8012
- Superset BI: Port 8007
5. Restriccions d'Accés
S'apliquen Rich Rules per limitar l'administració (SSH, Cockpit) a subxarxes específiques de la institució, bloquejant intents de connexió no autoritzats des de l'exterior.