abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:44 | Zajímavý článek Ladislav Hagara | Komentářů: 0
    dnes 17:22 | Nová verze

    Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.

    Ladislav Hagara | Komentářů: 0
    dnes 17:11 | Nová verze

    Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    dnes 14:11 | IT novinky

    Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.

    Ladislav Hagara | Komentářů: 6
    dnes 13:11 | IT novinky

    Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.

    Ladislav Hagara | Komentářů: 0
    dnes 05:00 | Nová verze

    Byla vydána verze 10.0.0 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 1
    včera 15:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 143 (pdf), HackSpace 80 (pdf) a Hello World 24 (pdf).

    Ladislav Hagara | Komentářů: 2
    včera 12:33 | Nová verze

    Byla vydána nová verze 1.14.0 klienta a serveru VNC (Virtual Network Computing) s názvem TigerVNC (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Binárky na SourceForge. TigerVNC je fork TightVNC.

    Ladislav Hagara | Komentářů: 0
    včera 04:33 | IT novinky

    Certifikační autorita Let's Encrypt oznámila svůj záměr co nejdříve ukončit podporu protokolu Online Certificate Status Protocol (OCSP) ve prospěch seznamů Certificate Revocation Lists (CRLs).

    Ladislav Hagara | Komentářů: 1
    včera 03:44 | Nová verze

    Společnost Meta představila Llama 3.1 (𝕏), tj. nejnovější verzi svého open source velkého jazykového modelu Llama (Wikipedie). K dispozici je ve verzích 8B, 70B a 405B.

    Ladislav Hagara | Komentářů: 5
    Rozcestník

    Dotaz: Debian firewall nastaveni pravidel do DMZ na www server

    24.10.2011 13:05 Tagy
    Debian firewall nastaveni pravidel do DMZ na www server
    Přečteno: 606×

    Ahoj, mejme web server umisteny v DMZ za debianim firewallem.

    Musim tedy nastavit pravidlo, ze pokud prijde paket na port 80 nebo 443, ze ho router posle na web server (ip: 192.168.2.3)

    Ve firewallu jsem nastavil tyto pravidla:

    #####################################################

    #!/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    .
    .
    .
    # povoleni tcp/udp/icmp 80/443 do site

    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL  -d 192.168.2.3 -j ACCEPT

    #Projdou temito pravidly pozadavky na web server do DMZ?

    #Jeste bych mel nadefinovat pravidla pri komunikaci web serveru z DMZ smerem do internetu

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    #####################################################

    Co to vlastne dela?
    parametr "-A" (append) pridava pravidlo/specifikaci
    FORWARD: pravidlo, ktere vsechny prichazejici pakety na jedno sitove rozhrani presmerovava na jine
    parametr "-d" (destination?) je to cilová IP
    parametr "-p" (protocol) protokol, tzn. bud: tcp, udp, icmp
    parametr "--dport" zachyceni na zaklade ciloveho portu
    parametr "-j" urcuje co ma jadro s danym paketem (vyhovujicim pravidlu) udelat, ACCEPT ->paket propustit na dane rozhrani

    parametr "-i" interface/rozhranni

     

    Jak overit ze dane pravidlo funguje?

    telnet x.x.x.x 80

    Zde jsem nasel nejake How To:
    http://www.aboutdebian.com/firewall.htm

    Maji tam jeste aktivovany NAT (maskaradu)

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    Diky :)

    Odpovědi

    24.10.2011 14:38 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Misto -p ALL bych pouzil -p tcp a o zadnou DMZ se nejedna, to by jsi musel mit na firwallu tri rozhrani/sitovky(predpokladam, ze podle navodu nemas dva firewall-u), take se na DMZ pouzivaji verejne IP adresy, potom nemusis pouzivat NAT. Imho ti tam chybi preklad smerem ven:
    # Enable SNAT (MASQUERADE) functionality on $EXTIF
    iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
    
    NN
    30.10.2011 14:19 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    -p tcp jsem tam mel, jenze sel by pak ping? Ten bezi pres ICMP, az to pobezi tak to nastavim na tcp ;-) Prave ze mam dva firevall-y, jeden jako externi a druhy pro interni sit.
    Ted nastavuji externi aby my routoval na web server s neverejnou IP adresou.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp/udp/icmp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

    #####################################################

    Jeste prikladam schema site, ktere jsem vyzistil na zaklade "ifconfig" na obou FW.

    http://dl.dropbox.com/u/2007219/FwDmz.png

    30.10.2011 18:34 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Kombinovat --dport 80 a -p ALL je prece kravina, ICMP pravidla s vetsinou uvadeji samostatne a HTTP UDP nepouziva.. Cil je, aby pravidla byla maximalne presna, jinak vzniknou diry.

    Imho, podle toho nakresu muzes usetrit jeden firewall a jeden switch, pri stejne urovni zabezpeceni, pokud pouzijes VLAN a jeden firewall, ktery ma vice sitovek.

    NN
    31.10.2011 12:11 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    "Kombinovat --dport 80 a -p ALL je prece kravina"

    Rozumim, na 80tce bezi HTTP a ten zas fici pres tcp, takze -p tcp

     

    Ohledne pouziti dvou firewallu... take jsem se ptal proc? Sit jsem nenavrhoval ja, mozna tam maji jiny, rozumny duvod... nevim.

    Sit jsem videl jen vzdalene, fyzicky nikoliv.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p tcp -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p HTTP -d 192.168.2.3 -j ACCEPT

    # povoleni tcp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p HTTP -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p HTTP -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $extif
    $ipt-t nat -A POSTROUTING -o $extif -j SNAT --to $extif

    #####################################################

     

    Diky moc :-)

    31.10.2011 12:25 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    -p HTTP
    bude asi mysleno -p tcp ...

    NN
    31.10.2011 15:38 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Jj zacal jsem to editovat, ale pak jsem odbehl... :-) a zapomnel na to

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.