Защитна стена за сървъри, достъпни отвън

Съдържание

За да се предотвратят проблеми със сигурността, често се създава буферна зона чрез настройките на защитната стена, където всяка мрежа се свързва с различен мрежов интерфейс. Тази конфигурация се нарича защитна стена с три крака.
Тези, които се нуждаят от врата, през която влиза трафикът от интернет, трябва да отидат в междинна зона на обществени услуги или във фронтенден. Местоположението на сървърите, които захранват тези публични приложения, трябва да бъде в различна и защитена мрежа или на заден план.
В този тип защитна стена трябва да разрешите:
- Достъп до локална мрежа до интернет.
- Публичен достъп от интернет до порт tcp / 80 и tcp / 443 на нашия уеб сървър.
- Очевидно блокирайте останалата част от достъпа до локалната мрежа.
Трябва да имате предвид, че по този начин тя има междинно ниво на сигурност, което не е достатъчно високо, за да съхранява важни фирмени данни.
Предполагаме, че сървърът използва Linux, базирана на debian дистрибуция.
Конфигуриране на мрежовите интерфейси
Влизаме в защитната стена, първото нещо, което трябва да направите, е да конфигурирате мрежовите интерфейси. Преди това ще търсим IP адресите на мрежата.
Достъпваме в администраторски режим. Използваме следната команда, за да видим мрежовите интерфейси.
ifconfig -a | grep eth *
След това с командата виждаме dns, който се използва в момента
още /etc/resolv.conf
След това виждаме кой е вътрешният ip със следната команда
ifconfig eth0
Ще видим също IP на шлюза и мрежата със следната команда
netstat -r
Да предположим ip
Ip 192.168.0.113
Маска на мрежата 255.255.255.0
Мрежов ip 192.168.0.0
IP шлюз 192.168.0.253
Ще заредим събраните по -рано данни.
nano -wB / etc / network / интерфейси
кола го
iface lo inet loopback
auto eth0
iface eth0 inet статичен
адрес 192.168.0.113
маска на мрежата 255.255.255.0
мрежа 192.168.0.0
излъчване 192.168.0.255
шлюз 192.168.0.253
auto eth1
iface eth1 inet статичен
адрес 192.168.10.1
маска на мрежата 255.255.255.0
мрежа 192.168.10.0
излъчване 192.168.10.255
auto eth2
iface eth2 inet статичен
адрес 192.168.3.1
маска на мрежата 255.255.255.0
мрежа 192.168.3.0
излъчване 192.168.3.255
Както можете да видите, всеки мрежов интерфейс използва различен диапазон: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Рестартираме мрежата
/etc/init.d/networking рестартиране
Ние създаваме нашия iptables скрипт с правилата, които считаме за необходими
nano /etc/network/if-up.d/firewall
Някои важни правила са
# eth0 е интерфейсът, свързан към рутера, а eth1 към локалната мрежа
# Всичко, което идва от чужбина и отива до пристанища 80 и 433
# пренасочваме го към уеб сървъра (192.168.3.2) на междинната зона
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT -до 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --до 192.168.3.2:443
## Разрешаваме преминаването на локалната мрежа към уеб сървъра в междинната зона
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Затваряме достъпа на междинната зона до локалната мрежа
iptables -A НАПРЕД -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPХареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
wave wave wave wave wave