Vatrozid za poslužitelje dostupne izvana

Kako bi se spriječili sigurnosni problemi, međuspremnička zona često se stvara kroz postavke vatrozida, gdje se svaka mreža povezuje s različitim mrežnim sučeljem. Ova se konfiguracija naziva trokraki vatrozid.
Oni koji trebaju imati vrata kroz koja ulazi promet s interneta, moraju ući u srednju zonu javnih usluga ili na sučelje. Položaj poslužitelja koji hrane te javne aplikacije mora biti u drugoj zaštićenoj mreži ili pozadini.
U ovoj vrsti vatrozida morate dopustiti:
- Pristup lokalnoj mreži internetu.
- Javni pristup s interneta na portove tcp / 80 i tcp / 443 našeg web poslužitelja.
- Očigledno blokirajte ostatak pristupa lokalnoj mreži.
Morate imati na umu da na ovaj način ima srednju razinu sigurnosti koja nije dovoljno visoka za pohranu bitnih podataka tvrtke.
Pretpostavljamo da poslužitelj koristi linux, distribuciju temeljenu na debianu.
Konfiguriranje mrežnih sučelja
Prijavljujemo se na vatrozid, prvo što trebate učiniti je konfigurirati mrežna sučelja. Prije ćemo tražiti IP adrese mreže.
Pristupamo u administratorskom načinu rada. Koristimo sljedeću naredbu da vidimo mrežna sučelja.
ifconfig -a | grep eth *
Zatim naredbom vidimo dns koji se trenutno koristi
više /etc/resolv.conf
Zatim vidimo koji je unutarnji ip sa sljedećom naredbom
ifconfig eth0
Također ćemo vidjeti IP pristupnika i mreže sa sljedećom naredbom
netstat -r
Pretpostavimo da je ip
Ip 192.168.0.113
Mrežna maska ​​255.255.255.0
Mrežni ip 192.168.0.0
Mrežni prolaz IP 192.168.0.253
Učitavat ćemo prethodno prikupljene podatke.
nano -wB / etc / network / sučelja
vozi ga
iface lo inet loopback
auto eth0
iface eth0 inet statički
adresa 192.168.0.113
maska ​​mreže 255.255.255.0
mreža 192.168.0.0
emitiranje 192.168.0.255
pristupnik 192.168.0.253
auto eth1
iface eth1 inet statički
adresa 192.168.10.1
maska ​​mreže 255.255.255.0
mreža 192.168.10.0
emitiranje 192.168.10.255
auto eth2
iface eth2 inet statički
adresa 192.168.3.1
maska ​​mreže 255.255.255.0
mreža 192.168.3.0
emitirati 192.168.3.255
Kao što vidite, svako mrežno sučelje koristi drugačiji raspon: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Ponovno pokrećemo mrežu
/etc/init.d/ umrežavanje ponovno pokretanje
Izrađujemo našu skriptu za iptables s pravilima koja smatramo potrebnima
nano /etc/network/if-up.d/firewall
Postoje neka važna pravila
# eth0 je sučelje povezano s usmjerivačem, a eth1 s lokalnom mrežom
# Sve što dolazi iz inozemstva i ide u luke 80 i 433
# preusmjeravamo ga na web poslužitelj (192.168.3.2) posredničke zone
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --do 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --do 192.168.3.2:443
## Dopuštamo prolaz lokalne mreže na web poslužitelj posrednu zonu
iptables -A NAPRIJED -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j PRIHVATI
iptables -A NAPRIJED -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j PRIHVATI
# Zatvaramo pristup posrednoj zoni lokalnoj mreži
iptables -A NAPRIJED -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPJe li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod