Innehållsförteckning
För att förhindra säkerhetsproblem skapas ofta en buffertzon genom brandväggsinställningar, där varje nätverk ansluter till ett annat nätverksgränssnitt. Denna konfiguration kallas en trebent brandvägg.De som behöver ha en dörr genom vilken trafik från Internet kommer in, måste gå i en mellanliggande zon med offentliga tjänster eller frontend. Platsen för servrarna som matar dessa offentliga applikationer måste vara i ett annat och skyddat nätverk eller backend.
I denna typ av brandvägg måste du tillåta:
- Tillgång till lokalt nätverk till internet.
- Allmän tillgång från internet till port tcp / 80 och tcp / 443 på vår webbserver.
- Uppenbarligen blockera resten av åtkomst till det lokala nätverket.
Du måste komma ihåg, på detta sätt har den en mellanliggande säkerhetsnivå, som inte är tillräckligt hög för att lagra viktig företagsdata.
Vi antar att servern använder linux, en debianbaserad distribution.
Konfigurera nätverksgränssnitt
Vi loggar in i brandväggen, det första du ska göra är att konfigurera nätverksgränssnitten. Tidigare kommer vi att leta efter nätverkets IP: er.
Vi kommer åt i administratörsläge. Vi använder följande kommando för att se nätverksgränssnitten.
ifconfig -a | grep eth *
Sedan med kommandot ser vi dns som används för närvarande
mer /etc/resolv.conf
Sedan ser vi vilken som är intern IP med följande kommando
ifconfig eth0
Vi kommer också att se IP -adressen för gatewayen och nätverket med följande kommando
netstat -r
Antag att ip
IP 192.168.0.113
Nätmask 255.255.255.0
Nätverk ip 192.168.0.0
Gateway IP 192.168.0.253
Vi kommer att ladda den tidigare insamlade informationen.
nano -wB / etc / network / interfaces
bil det
iface lo inet loopback
auto eth0
iface eth0 inet statisk
adress 192.168.0.113
nätmask 255.255.255.0
nätverk 192.168.0.0
sända 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet statisk
adress 192.168.10.1
nätmask 255.255.255.0
nätverk 192.168.10.0
sända 192.168.10.255
auto eth2
iface eth2 inet statisk
adress 192.168.3.1
nätmask 255.255.255.0
nätverk 192.168.3.0
sända 192.168.3.255
Som du kan se använder varje nätverksgränssnitt ett annat intervall: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Vi startar om nätverket
/etc/init.d/networking restart
Vi skapar vårt iptables -skript med de regler som vi anser nödvändiga
nano /etc/network/if-up.d/firewall
Några viktiga regler är
# eth0 är gränssnittet som är anslutet till routern och eth1 till det lokala nätverket
# Allt som kommer från utlandet och går till hamnar 80 och 433
# vi omdirigerar den till webbservern (192.168.3.2) i mellanzonen
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 80 -j DNAT -till 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT -till 192.168.3.2:443
## Vi tillåter passage av det lokala nätverket till webbservern mellanzonen
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp -sport 80 -j ACCEPTERA
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPTERA
# Vi stänger tillgången till mellanzonen till det lokala nätverket
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPGillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng