Firewall pentru servere accesibile din exterior

Pentru a preveni problemele de securitate, o zonă tampon este adesea creată prin setările firewall-ului, unde fiecare rețea se conectează la o altă interfață de rețea. Această configurație se numește un firewall cu trei picioare.
Cei care au nevoie să aibă o ușă prin care intră traficul de pe Internet, trebuie să meargă într-o zonă intermediară de servicii publice sau frontend. Locația serverelor care alimentează aceste aplicații publice trebuie să fie într-o rețea diferită și protejată, sau backend.
În acest tip de firewall trebuie să permiteți:
- Acces la rețeaua locală la internet.
- Acces public de pe internet la porturile tcp / 80 și tcp / 443 ale serverului nostru web.
- Evident, blocați restul accesului la rețeaua locală.
Trebuie să aveți în vedere, în acest fel, are un nivel intermediar de securitate, care nu este suficient de ridicat pentru a stoca datele esențiale ale companiei.
Presupunem că serverul folosește Linux, o distribuție bazată pe debian.
Configurarea interfețelor de rețea
Ne conectăm la firewall, primul lucru de făcut este să configurați interfețele de rețea. Anterior vom căuta adresele IP ale rețelei.
Accesăm în modul administrator. Folosim următoarea comandă pentru a vedea interfețele de rețea.
ifconfig -a | grep eth *
Apoi, cu comanda, vedem DNS-urile utilizate în prezent
mai multe /etc/resolv.conf
Apoi vedem care este ip-ul intern cu următoarea comandă
ifconfig eth0
Vom vedea, de asemenea, IP-ul gateway-ului și al rețelei cu următoarea comandă
netstat -r
Să presupunem că ip
Ip 192.168.0.113
Netmask 255.255.255.0
IP de rețea 192.168.0.0
Gateway IP 192.168.0.253
Vom încărca datele colectate anterior.
nano -wB / etc / network / interfaces
ma ocupa
iface lo inet loopback
auto eth0
iface eth0 inet static
adresa 192.168.0.113
netmask 255.255.255.0
rețea 192.168.0.0
difuzat 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet static
adresa 192.168.10.1
netmask 255.255.255.0
rețea 192.168.10.0
difuzat 192.168.10.255
auto eth2
iface eth2 inet static
adresa 192.168.3.1
netmask 255.255.255.0
rețea 192.168.3.0
difuzat 192.168.3.255
După cum puteți vedea, fiecare interfață de rețea utilizează un interval diferit: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Repornim rețeaua
/etc/init.d/networking restart
Creăm scriptul nostru iptables cu regulile pe care le considerăm necesare
nano /etc/network/if-up.d/ firewall
Unele reguli importante sunt
# eth0 este interfața conectată la router și eth1 la rețeaua locală
# Tot ce vine din străinătate și merge în porturile 80 și 433
# îl redirecționăm către serverul web (192.168.3.2) din zona intermediară
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Permitem trecerea rețelei locale către serverul web din zona intermediară
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Închidem accesul zonei intermediare la rețeaua locală
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPV-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv