Inhaltsverzeichnis
Um Sicherheitsprobleme zu vermeiden, wird häufig durch Firewall-Einstellungen eine Pufferzone erstellt, in der jedes Netzwerk mit einer anderen Netzwerkschnittstelle verbunden ist. Diese Konfiguration wird als dreibeinige Firewall bezeichnet.Diejenigen, die eine Tür benötigen, durch die der Verkehr aus dem Internet eintritt, muss in eine Zwischenzone der öffentlichen Dienste oder des Frontends gehen. Der Standort der Server, die diese öffentlichen Anwendungen versorgen, muss sich in einem anderen und geschützten Netzwerk oder Back-End befinden.
Bei dieser Art von Firewall müssen Sie Folgendes zulassen:
- Lokaler Netzwerkzugriff auf das Internet.
- Öffentlicher Zugriff aus dem Internet auf die Ports tcp / 80 und tcp / 443 unseres Webservers.
- Blockieren Sie offensichtlich den Rest des Zugriffs auf das lokale Netzwerk.
Sie müssen bedenken, dass es auf diese Weise eine mittlere Sicherheitsstufe hat, die nicht hoch genug ist, um wichtige Unternehmensdaten zu speichern.
Wir gehen davon aus, dass der Server Linux verwendet, eine auf Debian basierende Distribution.
Konfiguration der Netzwerkschnittstellen
Wir loggen uns in die Firewall ein, als erstes müssen die Netzwerkschnittstellen konfiguriert werden. Zuvor werden wir nach den IPs des Netzwerks suchen.
Wir greifen im Administratormodus zu. Wir verwenden den folgenden Befehl, um die Netzwerkschnittstellen anzuzeigen.
ifconfig -a | grep eth *
Dann sehen wir mit dem Befehl die derzeit verwendeten DNS
mehr /etc/resolv.conf
Dann sehen wir mit dem folgenden Befehl, welche die interne IP ist
ifconfig eth0
Wir sehen auch die IP des Gateways und des Netzwerks mit dem folgenden Befehl
netstat -r
Angenommen, die ip
IP 192.168.0.113
Netzmaske 255.255.255.0
Netzwerk-IP 192.168.0.0
Gateway-IP 192.168.0.253
Wir werden die zuvor gesammelten Daten laden.
nano -wB / etc / Netzwerk / Schnittstellen
Auto es
iface lo inet loopback
auto eth0
iface eth0 inet statisch
Adresse 192.168.0.113
Netzmaske 255.255.255.0
Netzwerk 192.168.0.0
Sendung 192.168.0.255
Gateway 192.168.0.253
auto eth1
iface eth1 inet statisch
Adresse 192.168.10.1
Netzmaske 255.255.255.0
Netzwerk 192.168.10.0
Sendung 192.168.10.255
auto eth2
iface eth2 inet statisch
Adresse 192.168.3.1
Netzmaske 255.255.255.0
Netzwerk 192.168.3.0
Sendung 192.168.3.255
Wie Sie sehen, verwendet jede Netzwerkschnittstelle einen anderen Bereich: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Wir starten das Netzwerk neu
/etc/init.d/Netzwerkneustart
Wir erstellen unser iptables-Skript mit den Regeln, die wir für notwendig halten
nano /etc/network/if-up.d/firewall
Einige wichtige Regeln sind
# eth0 ist die mit dem Router verbundene Schnittstelle und eth1 mit dem lokalen Netzwerk
# Alles, was aus dem Ausland kommt und zu den Häfen 80 und 433 geht
# wir leiten es an den Webserver (192.168.3.2) der Zwischenzone weiter
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Wir erlauben den Durchgang des lokalen Netzwerks zum Webserver der Zwischenzone
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Wir schließen den Zugang der Zwischenzone zum lokalen Netzwerk
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPHat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben