Inhoudsopgave
Om beveiligingsproblemen te voorkomen, wordt vaak een bufferzone gecreëerd via firewall-instellingen, waarbij elk netwerk verbinding maakt met een andere netwerkinterface. Deze configuratie wordt een driepotige firewall genoemd.Wie een deur nodig heeft waardoor verkeer van internet binnenkomt, moet in een tussenzone van openbare diensten of frontend gaan. De locatie van de servers die deze openbare applicaties voeden, moet zich in een ander en beveiligd netwerk of backend bevinden.
In dit type firewall moet u toestaan:
- Lokale netwerktoegang tot internet.
- Publieke toegang van internet naar poort tcp / 80 en tcp / 443 van onze webserver.
- Blokkeer uiteraard de rest van de toegang tot het lokale netwerk.
U moet er rekening mee houden dat het op deze manier een gemiddeld beveiligingsniveau heeft, dat niet hoog genoeg is om essentiële bedrijfsgegevens op te slaan.
We nemen aan dat de server linux gebruikt, een op Debian gebaseerde distributie.
De netwerkinterfaces configureren
We loggen in op de firewall, het eerste wat we moeten doen is de netwerkinterfaces configureren. Voorheen gaan we op zoek naar de IP's van het netwerk.
We hebben toegang in de beheerdersmodus. We gebruiken de volgende opdracht om de netwerkinterfaces te zien.
ifconfig -a | grep eth *
Dan zien we met het commando de dns die momenteel in gebruik is
meer /etc/resolv.conf
Dan zien we wat het interne ip is met het volgende commando:
ifconfig eth0
We zullen ook het IP-adres van de gateway en het netwerk zien met de volgende opdracht:
netstat -r
Stel dat de ip
IP 192.168.0.113
Netmasker 255.255.255.0
Netwerk-ip 192.168.0.0
Gateway-IP 192.168.0.253
We gaan de eerder verzamelde gegevens laden.
nano -wB / etc / netwerk / interfaces
auto het
iface lo inet loopback
auto eth0
iface eth0 inet statisch
adres 192.168.0.113
netmasker 255.255.255.0
netwerk 192.168.0.0
uitzending 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet statisch
adres 192.168.10.1
netmasker 255.255.255.0
netwerk 192.168.10.0
uitzending 192.168.10.255
auto eth2
iface eth2 inet statisch
adres 192.168.3.1
netmasker 255.255.255.0
netwerk 192.168.3.0
uitzending 192.168.3.255
Zoals u kunt zien, gebruikt elke netwerkinterface een ander bereik: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
We herstarten het netwerk
/etc/init.d/networking restart
We maken ons iptables-script met de regels die we nodig achten
nano /etc/network/if-up.d/firewall
Enkele belangrijke regels zijn:
# eth0 is de interface die is aangesloten op de router en eth1 op het lokale netwerk
# Alles wat uit het buitenland komt en naar poort 80 en 433 gaat
# we leiden het om naar de webserver (192.168.3.2) van de tussenliggende zone
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## We laten de doorgang van het lokale netwerk naar de webserver de tussenliggende zone toe
iptables -A VOORUIT -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPTEREN
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPTEREN
# We sluiten de toegang van de tussenzone tot het lokale netwerk
iptables -A VOORUIT -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPVond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven