Firewall pro servery přístupné zvenčí

Obsah

Aby se předešlo problémům se zabezpečením, často se prostřednictvím nastavení brány firewall vytváří zóna vyrovnávací paměti, kde se každá síť připojuje k jinému síťovému rozhraní. Tato konfigurace se nazývá firewall se třemi nohami.
Ti, kteří potřebují mít dveře, kterými vstupuje provoz z internetu, musí jít do střední zóny veřejných služeb nebo frontendu. Umístění serverů, které krmí tyto veřejné aplikace, musí být v jiné a chráněné síti nebo na backendu.
V tomto typu brány firewall musíte povolit:
- Přístup k internetu v místní síti.
- Veřejný přístup z internetu na port tcp / 80 a tcp / 443 našeho webového serveru.
- Zjevně zablokujte zbývající přístup k místní síti.
Musíte mít na paměti, že tímto způsobem má střední úroveň zabezpečení, která není dostatečně vysoká pro ukládání důležitých firemních dat.
Předpokládáme, že server používá linux, distribuci založenou na debianu.
Konfigurace síťových rozhraní
Přihlásíme se do brány firewall, první věcí, kterou musíte udělat, je nakonfigurovat síťová rozhraní. Dříve budeme hledat IP adresy sítě.
Přistupujeme v režimu správce. K zobrazení síťových rozhraní používáme následující příkaz.
ifconfig -a | grep eth *
Potom příkazem vidíme aktuálně používané dns
více /etc/resolv.conf
Potom uvidíme, která je interní IP s následujícím příkazem
ifconfig eth0
Uvidíme také IP brány a sítě s následujícím příkazem
netstat -r
Předpokládejme, že ip
IP 192.168.0.113
Síťová maska ​​255.255.255.0
Síťová IP 192.168.0.0
Brána IP 192.168.0.253
Načteme dříve shromážděná data.
nano -WB / etc / network / interfaces
auto to
iface lo inet loopback
auto eth0
iface eth0 inet static
adresa 192.168.0.113
síťová maska ​​255.255.255.0
síť 192.168.0.0
vysílání 192.168.0.255
brána 192.168.0.253
auto eth1
iface eth1 inet static
adresa 192.168.10.1
síťová maska ​​255.255.255.0
síť 192.168.10.0
vysílání 192.168.10.255
auto eth2
iface eth2 inet static
adresa 192.168.3.1
síťová maska ​​255.255.255.0
síť 192.168.3.0
vysílání 192.168.3.255
Jak vidíte, každé síťové rozhraní používá jiný rozsah: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Restartujeme síť
/etc/init.d/ restart sítě
Skript iptables vytváříme podle pravidel, která považujeme za nezbytná
nano /etc/network/if-up.d/firewall
Některá důležitá pravidla jsou
# eth0 je rozhraní připojené k routeru a eth1 k místní síti
# Všechno, co pochází ze zahraničí a míří do portů 80 a 433
# přesměrujeme jej na webový server (192.168.3.2) mezilehlé zóny
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT -do 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Umožňujeme přechod místní sítě na webový server mezilehlou zónu
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Zavíráme přístup mezilehlé zóny k místní síti
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPLíbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
wave wave wave wave wave