Spisie treści
Ci, którzy potrzebują mieć drzwi, przez które wchodzi ruch z Internetu, muszą przejść do strefy pośredniej usług publicznych lub frontendu. Lokalizacja serwerów, które zasilają te aplikacje publiczne, musi znajdować się w innej i chronionej sieci lub zapleczu.
W tego typu zaporze musisz zezwolić na:
- Dostęp do Internetu w sieci lokalnej.
- Publiczny dostęp z Internetu do portu tcp / 80 i tcp / 443 naszego serwera WWW.
- Oczywiście zablokować resztę dostępu do sieci lokalnej.
Należy pamiętać, że w ten sposób ma średni poziom bezpieczeństwa, który nie jest wystarczająco wysoki, aby przechowywać istotne dane firmy.
Zakładamy, że serwer używa linuxa, dystrybucji opartej na debianie.
Konfiguracja interfejsów sieciowych
Logujemy się do zapory, pierwszą rzeczą do zrobienia jest konfiguracja interfejsów sieciowych. Wcześniej będziemy szukać adresów IP sieci.
Mamy dostęp w trybie administratora. Używamy następującego polecenia, aby zobaczyć interfejsy sieciowe.
ifconfig -a | grep et *
Następnie za pomocą polecenia widzimy aktualnie używany dns
więcej /etc/resolv.conf
Następnie widzimy, jaki jest wewnętrzny adres IP za pomocą następującego polecenia
ifconfig eth0
Zobaczymy również adres IP bramy i sieci za pomocą następującego polecenia
netstat -r
Załóżmy, że ip
IP 192.168.0.113
Maska sieci 255.255.255.0
IP sieci 192.168.0.0
Bramka IP 192.168.0.253
Załadujemy wcześniej zebrane dane.
nano -wB / etc / sieć / interfejsy
samochód to
iface lo inet sprzężenie zwrotne
auto eth0
iface eth0 inet statyczne
adres 192.168.0.113
maska sieci 255.255.255.0
sieć 192.168.0.0
nadawanie 192.168.0.255
brama 192.168.0.253
auto eth1
iface eth1 inet statyczny
adres 192.168.10.1
maska sieci 255.255.255.0
sieć 192.168.10.0
transmisja 192.168.10.255
auto eth2
iface eth2 inet statyczne
adres 192.168.3.1
maska sieci 255.255.255.0
sieć 192.168.3.0
transmisja 192.168.3.255
Jak widać, każdy interfejs sieciowy używa innego zakresu: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Ponownie uruchamiamy sieć
/etc/init.d/restart sieci
Skrypt iptables tworzymy z regułami, które uważamy za niezbędne
nano /etc/network/if-up.d/firewall
Niektóre ważne zasady to
# eth0 to interfejs podłączony do routera, a eth1 do sieci lokalnej
# Wszystko, co pochodzi z zagranicy i trafia do portów 80 i 433
# przekierowujemy go na serwer WWW (192.168.3.2) strefy pośredniej
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Umożliwiamy przejście sieci lokalnej do serwera WWW w strefie pośredniej
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j AKCEPTUJ
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j AKCEPTUJ
# Zamykamy dostęp strefy pośredniej do sieci lokalnej
iptables -A DO PRZODU -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPPodobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
