LRT214’de DMZ’nin yapılandırılması


4

Ağ teknolojisi hakkında daha fazla bilgi edinmek istiyorum. Bu nedenle DMZ'de bir web sunucusu olarak ahududu pi çalıştırmak istiyorum.

Ne çalışıyor: pi üzerinde Appache Server çalışıyor. LAN'da kullandığımda ve Linksys'in portları yerel olarak yönlendirmesine izin verdiğimde 192.168.1.xxx (statik IP), dışarıdan erişebiliyorum.

Sorunum: DMZ portuna takılıyken doğru konfigürasyonu bulamıyorum.

LRT214'ün yapılandırması: (ISS'den alındı, çalışıyor)

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Ayarını anlamadım (LRT214'de):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Bununla ne kastedilmektedir. Ahudududa statik IP olarak kullanacağım IP mi bu?

* Yardıma ihtiyacım olan ayarlar: Raspberry /etc/network/interfaces"

Buraya aşağıdaki formda anlamlı bir şeyler yazmam gerektiğini varsayıyorum:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

Her neyse, 192.168.1.xxx ve 12.34.56.xx ile denemeler başarısız oldu.

Bir sonraki adımın iptablesahududu üzerinde doğru ayarlandığını biliyorum . Planım, buradaki http:ve dışındaki her şeyi engellemektir ssh:.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Doğru kurulumdaki yardımınız için teşekkürler.

Düzenleme Bunu yazarken DMZ’deki ahududu ayrı bir statik WAN IP’ye ihtiyaç duyacak mı diye merak ediyorum. 12.34.56.01 dışında. Çünkü yönlendirici, hangi trafiğin ahududuya yönlendirileceğini ve hangisinin LAN'a yönlendirilmesi gerektiğini nasıl bilmeli? Kaçırdığım herhangi bir önemli ayar.


1
RPI'nıza yönlendiricinizdeki DHCP kapsamınızın hemen dışında statik bir IP vermelisiniz (örn. Yönlendiriciniz 192.168.1.2-100 veriyorsa, RPi'nize 192.168.1.101 verin). Daha sonra 192.168.0.101'i DMZ sayfanıza yerleştirdiniz ...
Kinnectus

Yönlendirici hangi trafiğin DMZ'ye ait olduğunu nasıl biliyor? Veya otomatik olarak ahududu gönderilir lane yönlendirilmemiş bağlantı noktalarına herhangi bir trafik var mı?
BerndGit

Raspberry Pi'de halka açık bir web sunucusu oluşturma hakkında epeyce makale var. Örneğin: example1 veya example2 .
harrymc

Evet, bazı örnekler izledim. Ve ben korumalı yönlendirmeyi kullanarak bir web sunucusu kurmayı başardım. Her neyse pi'yi DMZ içinde hareket ettirmek istediğimde başarısız oldum. Büyük ihtimalle bir hatam vardı /etc/network/interfaces. Özellikle netmaskne alacağımdan emin değilim. (255.255.255.255
BerndGit

Yanıtlar:


1

Üç yorum:

  1. Mevcut konfigürasyonunuz PI'nızı LANınızdaki diğer herhangi bir bilgisayarla aynı kılar, yani bir DMZ'de değildir. Bir DMZ'de olmak, hem İnternet'ten gelen bağlantı noktalarının doğru bir şekilde yapılandırıldığı ve hem de bir davetsiz misafir Pi sunucunuza erişirse, o zaman hala adetlerinize erişemediği için LAN'ınızın geri kalanından izole edildiği anlamına gelir. Bu adı verilen özel bir yapı gerektiren bir VLAN LAN geri kalanından ayıran: Eğer DMZ maske içinde Pi'nin IP adresini belirtirseniz sayfa 16 de belirtildiği gibi iyi bir haber, sizin için otomatik olarak LRT214 bu yapmasıdır LRT214 en Kullanım kılavuzu .

  2. İçinde stanza /etc/network/interfacesolmalı:

    auto eth0
    iface eth0 inet static
        address 192.168.73.94
        netmask 255.255.255.0
        gateway 192.168.73.1
        dns-nameservers 192.168.73.1 
        dns-nameservers 8.8.8.8 
    

    Lütfen bunu davanıza uyarlamayı unutmayın.

  3. Aşağıdaki çok önemli iptableskuralı kaçırıyorsunuz :

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    

    netfilterGüvenlik duvarına, devam etmekte olan bağlantılarla ilgili paketlere (80 ve 22'den farklı bağlantı noktalarında) izin vermesi talimatını verir. Sürmekte bağlantıları hem limanlarında 80 ve 22 bağlanırken birileri tarafından başlamış, ancak aynı zamanda bağlantıları sen başlattığı: Bu kuralı kaçırırsanız, güncellemeler dahil olmak üzere kendi sorgular, hiçbir takip olacak, web sayfaları yüklenirken, bağlantı yerel ve uzak makinelere, vb.


MariusMatutiae bu uzun cevap için teşekkür ederim. reklam (1) Anladım. PI'yi LAN'a yerleştirmek, pi'ye genel olarak erişilip erişilemeyeceğini kontrol etmek için yalnızca bir testti. (2) LRT214’de, DMZ Host’u 192.168.73.94, Doğru? reklam (3) Bunun için teşekkür ederim. Gelecek günlerde ayarları kontrol edeceğim ve bazı sorularınız olursa geri döneceğim. Cevabınız için, sorularımı ele alıp aldınız.
BerndGit

@BerndGit (2) Bu doğru!
MariusMatutiae
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.