Ugniasienė serveriams, pasiekiamiems iš išorės

Turinys

Siekiant užkirsti kelią saugumo problemoms, buferinė zona dažnai sukuriama naudojant užkardos nustatymus, kur kiekvienas tinklas jungiasi prie skirtingos tinklo sąsajos. Ši konfigūracija vadinama trijų kojų užkarda.
Tie, kuriems reikia durų, pro kurias patenka srautas iš interneto, turi patekti į tarpinę viešųjų paslaugų zoną arba „frontend“. Šias viešąsias programas tiekiančių serverių vieta turi būti kitame ir apsaugotame tinkle arba vidinėje sistemoje.
Šio tipo užkardoje turite leisti:
- Vietinio tinklo prieiga prie interneto.
- Vieša prieiga iš interneto į mūsų žiniatinklio serverio prievadus tcp / 80 ir tcp / 443.
- Akivaizdu, kad užblokuokite likusią prieigą prie vietinio tinklo.
Turite nepamiršti, kad tokiu būdu jis turi tarpinį saugumo lygį, kuris nėra pakankamai aukštas, kad būtų galima saugoti svarbiausius įmonės duomenis.
Manome, kad serveris naudoja „Linux“, „debian“ pagrįstą paskirstymą.
Tinklo sąsajų konfigūravimas
Mes prisijungiame prie ugniasienės, pirmiausia reikia sukonfigūruoti tinklo sąsajas. Anksčiau mes ieškosime tinklo IP.
Mes pasiekiame administratoriaus režimu. Norėdami pamatyti tinklo sąsajas, naudojame šią komandą.
ifconfig -a | grep eth *
Tada su komanda matome šiuo metu naudojamą dns
daugiau /etc/resolv.conf
Tada mes matome, kuris yra vidinis ip, naudodami šią komandą
ifconfig eth0
Taip pat pamatysime šliuzo ir tinklo IP su šia komanda
netstat -r
Tarkime, kad ip
Ip 192.168.0.113
Tinklo kaukė 255.255.255.0
Tinklo ip 192.168.0.0
Vartai IP 192.168.0.253
Įkeliame anksčiau surinktus duomenis.
nano -wB / etc / network / interfaces
automobiliu tai
iface lo inet loopback
auto eth0
iface eth0 inet statinis
adresas 192.168.0.113
tinklo kaukė 255.255.255.0
tinklas 192.168.0.0
transliacija 192.168.0.255
vartai 192.168.0.253
auto et1
iface eth1 inet statinis
adresas 192.168.10.1
tinklo kaukė 255.255.255.0
tinklas 192.168.10.0
transliacija 192.168.10.255
auto et2
iface eth2 inet statinis
adresas 192.168.3.1
tinklo kaukė 255.255.255.0
tinklas 192.168.3.0
transliacija 192.168.3.255
Kaip matote, kiekviena tinklo sąsaja naudoja skirtingą diapazoną: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Mes iš naujo paleidžiame tinklą
/etc/init.d/networking restart
Mes kuriame savo „iptables“ scenarijų pagal taisykles, kurias manome esant būtinas
nano /etc/network/if-up.d/firewall
Kai kurios svarbios taisyklės yra
# eth0 yra sąsaja, prijungta prie maršrutizatoriaus, o eth1 - prie vietinio tinklo
# Viskas, kas atkeliauja iš užsienio ir patenka į 80 ir 433 uostus
# peradresuojame jį į tarpinės zonos žiniatinklio serverį (192.168.3.2)
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 80 -j DNAT -į 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --port 443 -j DNAT -į 192.168.3.2:443
## Leidžiame vietiniam tinklui patekti į žiniatinklio serverį tarpinę zoną
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --port 80 -j ACCEPT
# Uždarome tarpinės zonos prieigą prie vietinio tinklo
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPAr jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
wave wave wave wave wave