LRT214’de DMZ’nin yapılandırılması

Ağ teknolojisi hakkında daha fazla bilgi edinmek istiyorum. Bu nedenle DMZ'de bir web sunucusu olarak ahududu pi çalıştırmak istiyorum.

Ne çalışıyor: pi üzerinde Appache Server çalışıyor. LAN'da kullandığımda ve Linksys'in portları yerel olarak yönlendirmesine izin verdiğimde 192.168.1.xxx (statik IP), dışarıdan erişebiliyorum.

Sorunum: DMZ portuna takılıyken doğru konfigürasyonu bulamıyorum.

LRT214'ün yapılandırması: (ISS'den alındı, çalışıyor)

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Ayarını anlamadım (LRT214'de):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Bununla ne kastedilmektedir. Ahudududa statik IP olarak kullanacağım IP mi bu?

* Yardıma ihtiyacım olan ayarlar: Raspberry /etc/network/interfaces"

Buraya aşağıdaki formda anlamlı bir şeyler yazmam gerektiğini varsayıyorum:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

Her neyse, 192.168.1.xxx ve 12.34.56.xx ile denemeler başarısız oldu.

Bir sonraki adımın iptablesahududu üzerinde doğru ayarlandığını biliyorum . Planım, buradaki http:ve dışındaki her şeyi engellemektir ssh:.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Doğru kurulumdaki yardımınız için teşekkürler.

Düzenleme Bunu yazarken DMZ’deki ahududu ayrı bir statik WAN IP’ye ihtiyaç duyacak mı diye merak ediyorum. 12.34.56.01 dışında. Çünkü yönlendirici, hangi trafiğin ahududuya yönlendirileceğini ve hangisinin LAN'a yönlendirilmesi gerektiğini nasıl bilmeli? Kaçırdığım herhangi bir önemli ayar.

Üç yorum:

1. Mevcut konfigürasyonunuz PI'nızı LANınızdaki diğer herhangi bir bilgisayarla aynı kılar, yani bir DMZ'de değildir. Bir DMZ'de olmak, hem İnternet'ten gelen bağlantı noktalarının doğru bir şekilde yapılandırıldığı ve hem de bir davetsiz misafir Pi sunucunuza erişirse, o zaman hala adetlerinize erişemediği için LAN'ınızın geri kalanından izole edildiği anlamına gelir. Bu adı verilen özel bir yapı gerektiren bir VLAN LAN geri kalanından ayıran: Eğer DMZ maske içinde Pi'nin IP adresini belirtirseniz sayfa 16 de belirtildiği gibi iyi bir haber, sizin için otomatik olarak LRT214 bu yapmasıdır LRT214 en Kullanım kılavuzu .

2. İçinde stanza /etc/network/interfacesolmalı:

   auto eth0
   iface eth0 inet static
       address 192.168.73.94
       netmask 255.255.255.0
       gateway 192.168.73.1
       dns-nameservers 192.168.73.1 
       dns-nameservers 8.8.8.8 
   

   Lütfen bunu davanıza uyarlamayı unutmayın.

3. Aşağıdaki çok önemli iptableskuralı kaçırıyorsunuz :

   iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   

   netfilterGüvenlik duvarına, devam etmekte olan bağlantılarla ilgili paketlere (80 ve 22'den farklı bağlantı noktalarında) izin vermesi talimatını verir. Sürmekte bağlantıları hem limanlarında 80 ve 22 bağlanırken birileri tarafından başlamış, ancak aynı zamanda bağlantıları sen başlattığı: Bu kuralı kaçırırsanız, güncellemeler dahil olmak üzere kendi sorgular, hiçbir takip olacak, web sayfaları yüklenirken, bağlantı yerel ve uzak makinelere, vb.