Ugunsmūris serveriem, kas pieejami no ārpuses

Satura rādītājs

Lai novērstu drošības problēmas, buferzona bieži tiek izveidota, izmantojot ugunsmūra iestatījumus, kur katrs tīkls izveido savienojumu ar citu tīkla saskarni. Šo konfigurāciju sauc par trīskāju ugunsmūri.
Tiem, kam ir vajadzīgas durvis, caur kurām iekļūst datplūsma no interneta, jādodas sabiedrisko pakalpojumu vai frontes starpposma zonā. Šo publisko lietojumprogrammu barojošo serveru atrašanās vietai jāatrodas citā un aizsargātā tīklā vai aizmugurē.
Šāda veida ugunsmūrī ir jāatļauj:
- Vietējā tīkla piekļuve internetam.
- Publiska piekļuve no interneta mūsu tīmekļa servera portiem tcp / 80 un tcp / 443.
- Acīmredzot bloķējiet pārējo piekļuvi vietējam tīklam.
Jums jāpatur prātā, ka šādā veidā tam ir starpposma drošības līmenis, kas nav pietiekami augsts, lai uzglabātu būtiskus uzņēmuma datus.
Mēs pieņemam, ka serveris izmanto Linux, uz debian balstītu izplatīšanu.
Tīkla saskarņu konfigurēšana
Mēs piesakāmies ugunsmūrim, pirmā lieta, kas jādara, ir konfigurēt tīkla saskarnes. Iepriekš mēs meklēsim tīkla IP.
Mēs piekļūstam administratora režīmā. Mēs izmantojam šādu komandu, lai redzētu tīkla saskarnes.
ifconfig -a | grep eth *
Tad ar komandu mēs redzam pašlaik izmantoto dns
vairāk /etc/resolv.conf
Tad mēs redzam, kurš ir iekšējais ip ar šādu komandu
ifconfig eth0
Mēs redzēsim arī vārtejas un tīkla IP ar šādu komandu
netstat -r
Pieņemsim, ka ip
Ip 192.168.0.113
Tīkla maska ​​255.255.255.0
Tīkla ip 192.168.0.0
Vārteja IP 192.168.0.253
Mēs ielādēsim iepriekš savāktos datus.
nano -wB / etc / network / saskarnes
mašīna to
iface lo inet loopback
auto eth0
iface eth0 inet statisks
adrese 192.168.0.113
tīkla maska ​​255.255.255.0
tīkls 192.168.0.0
pārraide 192.168.0.255
vārteja 192.168.0.253
auto eth1
iface eth1 inet statisks
adrese 192.168.10.1
tīkla maska ​​255.255.255.0
tīkls 192.168.10.0
pārraide 192.168.10.255
auto eth2
iface eth2 inet statisks
adrese 192.168.3.1
tīkla maska ​​255.255.255.0
tīkls 192.168.3.0
raidījums 192.168.3.255
Kā redzat, katrs tīkla interfeiss izmanto atšķirīgu diapazonu: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Mēs restartējam tīklu
/etc/init.d/networking restart
Mēs izveidojam savu iptables skriptu ar noteikumiem, kurus uzskatām par nepieciešamiem
nano /etc/network/if-up.d/firewall
Daži svarīgi noteikumi ir
# eth0 ir saskarne, kas savienota ar maršrutētāju, un eth1 ar vietējo tīklu
# Viss, kas nāk no ārzemēm un nonāk 80. un 433. ostā
# mēs to novirzām uz starpzonas tīmekļa serveri (192.168.3.2)
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 80 -j DNAT -uz 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 443 -j DNAT -uz 192.168.3.2:443
## Mēs atļaujam vietējā tīkla pāreju uz tīmekļa serveri starpzonu
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp -sports 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --port 80 -j PIEŅEMT
# Mēs aizveram piekļuvi starpzonai vietējam tīklam
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPVai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
wave wave wave wave wave