Преглед садржаја
Да би се спречили безбедносни проблеми, бафер зона се често ствара кроз поставке заштитног зида, где се свака мрежа повезује са различитим мрежним интерфејсом. Ова конфигурација се назива заштитни зид са три ноге.Они којима је потребно имати врата кроз која саобраћај са Интернета улази, морају ући у средњу зону јавних услуга или на фронт. Локације сервера који хране ове јавне апликације морају бити у другој заштићеној мрежи или позадини.
У овој врсти заштитног зида морате дозволити:
- Приступ локалној мрежи интернету.
- Јавни приступ са Интернета на портове тцп / 80 и тцп / 443 нашег веб сервера.
- Очигледно блокирајте остатак приступа локалној мрежи.
Морате имати на уму да на овај начин има средњи ниво безбедности, који није довољно висок за складиштење основних података компаније.
Претпостављамо да сервер користи линук, дистрибуцију засновану на дебиану.
Конфигурисање мрежних интерфејса
Пријављујемо се на заштитни зид, прво што треба да урадимо је да конфигуришемо мрежне интерфејсе. Раније ћемо тражити ИП адресе мреже.
Приступамо у режиму администратора. Користимо следећу команду да видимо мрежне интерфејсе.
ифцонфиг -а | греп етх *
Затим наредбом видимо днс који се тренутно користи
више /етц/ресолв.цонф
Затим видимо који је унутрашњи ип са следећом командом
ифцонфиг етх0
Такође ћемо видети ИП мрежног пролаза и мреже са следећом командом
нетстат -р
Претпоставимо да је ип
Ип 192.168.0.113
Нетмаск 255.255.255.0
Мрежни ип 192.168.0.0
Мрежни пролаз ИП 192.168.0.253
Учитаћемо претходно прикупљене податке.
нано -вБ / етц / нетворк / интерфејси
вози га
ифаце ло инет лоопбацк
ауто етх0
ифаце етх0 инет статички
адреса 192.168.0.113
нетмаск 255.255.255.0
мрежа 192.168.0.0
емитовање 192.168.0.255
гатеваи 192.168.0.253
ауто етх1
ифаце етх1 инет статички
адреса 192.168.10.1
нетмаск 255.255.255.0
мрежа 192.168.10.0
емитовање 192.168.10.255
ауто етх2
ифаце етх2 инет статички
адреса 192.168.3.1
нетмаск 255.255.255.0
мрежа 192.168.3.0
емитовање 192.168.3.255
Као што видите, сваки мрежни интерфејс користи другачији опсег: етх0 192.168.0.0/24, етх1 192.168.10.0/24, етх2 192.168.3.0/24
Поново покрећемо мрежу
/етц/инит.д/нетворкинг рестарт
Креирамо нашу иптаблес скрипту са правилима која сматрамо неопходним
нано /етц/нетворк/иф-уп.д/фиревалл
Постоје нека важна правила
# етх0 је интерфејс повезан са рутером, а етх1 са локалном мрежом
# Све што долази из иностранства и иде у луке 80 и 433
# преусмеравамо га на веб сервер (192.168.3.2) средње зоне
иптаблес -т нат -А ПРЕРОУТИНГ -и етх0 -п тцп --дпорт 80 -ј ДНАТ --до 192.168.3.2:80
иптаблес -т нат -А ПРЕРОУТИНГ -и етх0 -п тцп --дпорт 443 -ј ДНАТ --до 192.168.3.2:443
## Дозвољавамо пролаз локалне мреже на веб сервер посредну зону
иптаблес -А НАПРЕД -с 192.168.3.2 -д 192.168.10.5 -п тцп --спорт 80 -ј ПРИХВАТИ
иптаблес -А НАПРЕД -с 192.168.10.5 -д 192.168.3.2 -п тцп --дпорт 80 -ј ПРИХВАТИ
# Затварамо приступ посредној зони локалној мрежи
иптаблес -А НАПРЕД -с 192.168.3.0/24 -д 192.168.10.0/24 -ј ДРОПДа ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен