Firewall per server accessibili dall'esterno

Sommario

Per prevenire problemi di sicurezza, viene spesso creata una zona buffer tramite le impostazioni del firewall, in cui ogni rete si connette a un'interfaccia di rete diversa. Questa configurazione è chiamata firewall a tre gambe.
Chi ha bisogno di avere una porta attraverso la quale entra il traffico da Internet, deve recarsi in una zona intermedia dei servizi pubblici o frontend. La posizione dei server che alimentano queste applicazioni pubbliche deve trovarsi in una rete diversa e protetta, o backend.
In questo tipo di firewall è necessario consentire:
- Accesso alla rete locale a Internet.
- Accesso pubblico da internet alla porta tcp/80 e tcp/443 del nostro web server.
- Ovviamente bloccare il resto dell'accesso alla rete locale.
Devi tenere presente, in questo modo, che ha un livello di sicurezza intermedio, che non è abbastanza alto per archiviare i dati aziendali essenziali.
Supponiamo che il server utilizzi Linux, una distribuzione basata su Debian.
Configurazione delle interfacce di rete
Entriamo nel firewall, la prima cosa da fare è configurare le interfacce di rete. In precedenza cercheremo gli IP della rete.
Accediamo in modalità amministratore. Usiamo il seguente comando per vedere le interfacce di rete.
ifconfig -a | grep eth *
Poi con il comando vediamo i dns attualmente in uso
altro /etc/resolv.conf
Quindi vediamo qual è l'ip interno con il seguente comando
ifconfig eth0
Vedremo anche l'IP del gateway e della rete con il seguente comando
netstat -r
Supponiamo che l'ip
IP192.168.0.113
Maschera di rete 255.255.255.0
IP di rete 192.168.0.0
IP gateway 192.168.0.253
Stiamo per caricare i dati precedentemente raccolti.
nano -wB / etc / rete / interfacce
macchina
iface lo inet loopback
auto eth0
iface eth0 inet statico
indirizzo 192.168.0.113
maschera di rete 255.255.255.0
rete 192.168.0.0
trasmissione 192.168.0.255
porta 192.168.0.253
auto eth1
iface eth1 inet statico
indirizzo 192.168.10.1
maschera di rete 255.255.255.0
rete 192.168.10.0
trasmissione 192.168.10.255
auto eth2
iface eth2 inet statico
indirizzo 192.168.3.1
maschera di rete 255.255.255.0
rete 192.168.3.0
trasmissione 192.168.3.255
Come puoi vedere, ogni interfaccia di rete utilizza un intervallo diverso: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Riavviamo la rete
/etc/init.d/networking restart
Creiamo il nostro script iptables con le regole che riteniamo necessarie
nano /etc/network/if-up.d/firewall
Alcune regole importanti sono
# eth0 è l'interfaccia connessa al router ed eth1 alla rete locale
# Tutto ciò che viene dall'estero e va alle porte 80 e 433
# lo reindirizziamo al web server (192.168.3.2) della zona intermedia
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Permettiamo il passaggio della rete locale al web server della zona intermedia
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCETTA
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPT
# Chiudiamo l'accesso della zona intermedia alla rete locale
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPTi è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave