Indholdsfortegnelse
Dem, der har brug for at have en dør, gennem hvilken trafik fra Internettet kommer ind, skal gå i en mellemzone af offentlige tjenester eller frontend. Placeringen af serverne, der fodrer disse offentlige applikationer, skal være i et andet og beskyttet netværk eller backend.
I denne type firewall skal du tillade:
- Lokal netværksadgang til internettet.
- Offentlig adgang fra internet til port tcp / 80 og tcp / 443 på vores webserver.
- Bloker naturligvis resten af adgangen til det lokale netværk.
Du skal huske på den måde, at den har et mellemliggende sikkerhedsniveau, som ikke er højt nok til at gemme vigtige virksomhedsdata.
Vi antager, at serveren bruger linux, en debian-baseret distribution.
Konfiguration af netværksgrænseflader
Vi logger ind på firewallen, den første ting at gøre er at konfigurere netværksgrænsefladerne. Tidligere vil vi lede efter netværkets IP'er.
Vi får adgang i administratortilstand. Vi bruger følgende kommando til at se netværksgrænsefladerne.
ifconfig -a | grep eth *
Så med kommandoen ser vi dns i øjeblikket i brug
mere /etc/resolv.conf
Så ser vi, hvilken er den interne ip med følgende kommando
ifconfig eth0
Vi vil også se gatewayens og netværkets IP med følgende kommando
netstat -r
Antag ip
IP 192.168.0.113
Netmaske 255.255.255.0
Netværk ip 192.168.0.0
Gateway IP 192.168.0.253
Vi vil indlæse de tidligere indsamlede data.
nano -wB / etc / network / interfaces
bil det
iface lo inet loopback
auto eth0
iface eth0 inet statisk
adresse 192.168.0.113
netmaske 255.255.255.0
netværk 192.168.0.0
udsendelse 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet statisk
adresse 192.168.10.1
netmaske 255.255.255.0
netværk 192.168.10.0
udsendelse 192.168.10.255
auto eth2
iface eth2 inet statisk
adresse 192.168.3.1
netmaske 255.255.255.0
netværk 192.168.3.0
udsendelse 192.168.3.255
Som du kan se, bruger hver netværksgrænseflade et andet område: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Vi genstarter netværket
/etc/init.d/networking genstart
Vi opretter vores iptables -script med de regler, som vi anser for nødvendige
nano /etc/network/if-up.d/firewall
Nogle vigtige regler er
# eth0 er grænsefladen forbundet til routeren og eth1 til det lokale netværk
# Alt, hvad der kommer fra udlandet og går til havn 80 og 433
# vi omdirigerer det til webserveren (192.168.3.2) i mellemzonen
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 80 -j DNAT -til 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT -til 192.168.3.2:443
## Vi tillader passage af det lokale netværk til webserveren den mellemliggende zone
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp -sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Vi lukker adgangen til mellemzonen til det lokale netværk
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPKan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
