Brannmur for servere tilgjengelig fra utsiden

For å forhindre sikkerhetsproblemer opprettes ofte en buffersone gjennom brannmurinnstillinger, der hvert nettverk kobles til et annet nettverksgrensesnitt. Denne konfigurasjonen kalles en trebeint brannmur.
De som trenger å ha en dør gjennom hvilken trafikk fra Internett kommer inn, må gå i en mellomliggende sone for offentlige tjenester eller frontend. Plasseringen til serverne som mater disse offentlige programmene må være i et annet og beskyttet nettverk, eller backend.
I denne typen brannmur må du tillate:
- Lokal nettverkstilgang til internett.
- Offentlig tilgang fra internett til port tcp / 80 og tcp / 443 på vår webserver.
- Åpenbart blokkere resten av tilgangen til det lokale nettverket.
Du må huske på den måten at den har et mellomliggende sikkerhetsnivå, som ikke er høyt nok til å lagre viktige selskapsdata.
Vi antar at serveren bruker linux, en debian-basert distribusjon.
Konfigurere nettverksgrensesnittene
Vi logger på brannmuren, det første du må gjøre er å konfigurere nettverksgrensesnittene. Tidligere vil vi se etter IP -adressene til nettverket.
Vi får tilgang i administratormodus. Vi bruker følgende kommando for å se nettverksgrensesnittene.
ifconfig -a | grep eth *
Så med kommandoen ser vi dns som er i bruk
mer /etc/resolv.conf
Så ser vi hvilken som er den interne ip med følgende kommando
ifconfig eth0
Vi vil også se IP -adressen til gatewayen og nettverket med følgende kommando
netstat -r
Anta at ip
IP 192.168.0.113
Nettmaske 255.255.255.0
Nettverk ip 192.168.0.0
Gateway IP 192.168.0.253
Vi kommer til å laste inn tidligere innsamlede data.
nano -wB / etc / network / interfaces
bil den
iface lo inet loopback
auto eth0
iface eth0 inet statisk
adresse 192.168.0.113
nettmaske 255.255.255.0
nettverk 192.168.0.0
kringkasting 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet statisk
adresse 192.168.10.1
nettmaske 255.255.255.0
nettverk 192.168.10.0
kringkasting 192.168.10.255
auto eth2
iface eth2 inet statisk
adresse 192.168.3.1
nettmaske 255.255.255.0
nettverk 192.168.3.0
kringkasting 192.168.3.255
Som du kan se, bruker hvert nettverksgrensesnitt et annet område: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Vi starter nettverket på nytt
/etc/init.d/networking restart
Vi lager iptables -skriptet vårt med reglene vi anser som nødvendige
nano /etc/network/if-up.d/firewall
Noen viktige regler er
# eth0 er grensesnittet som er koblet til ruteren og eth1 til det lokale nettverket
# Alt som kommer fra utlandet og går til havn 80 og 433
# vi omdirigerer det til webserveren (192.168.3.2) i mellomsonen
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 80 -j DNAT -til 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT -til 192.168.3.2:443
## Vi tillater passering av det lokale nettverket til webserveren mellomsonen
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp -sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Vi stenger tilgangen til mellomsonen til det lokale nettverket
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPLikte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng