Índice
Quem precisa de uma porta de entrada do tráfego da Internet, deve passar por uma zona intermediária de serviços públicos ou frontend. A localização dos servidores que alimentam esses aplicativos públicos deve estar em uma rede diferente e protegida, ou back-end.
Neste tipo de firewall, você deve permitir:
- Acesso de rede local à internet.
- Acesso público da internet à porta tcp / 80 e tcp / 443 do nosso servidor web.
- Obviamente, bloquear o resto do acesso à rede local.
Deve-se ter em mente que, desta forma, ele possui um nível de segurança intermediário, que não é alto o suficiente para armazenar dados essenciais da empresa.
Assumimos que o servidor usa linux, uma distribuição baseada em debian.
Configurando as interfaces de rede
Nós logamos no firewall, a primeira coisa a fazer é configurar as interfaces de rede. Anteriormente iremos procurar os IPs da rede.
Acessamos em modo de administrador. Usamos o seguinte comando para ver as interfaces de rede.
ifconfig -a | grep eth *
Então, com o comando, vemos o dns atualmente em uso
mais /etc/resolv.conf
Então vemos qual é o ip interno com o seguinte comando
ifconfig eth0
Também veremos o IP do gateway e da rede com o seguinte comando
netstat -r
Suponha que o ip
Ip 192.168.0.113
Máscara de rede 255.255.255.0
IP de rede 192.168.0.0
Gateway IP 192.168.0.253
Vamos carregar os dados coletados anteriormente.
nano -wB / etc / network / interfaces
carro isso
iface lo inet loopback
auto eth0
iface eth0 inet estático
endereço 192.168.0.113
máscara de rede 255.255.255.0
rede 192.168.0.0
transmitir 192.168.0.255
gateway 192.168.0.253
auto eth1
iface eth1 inet estático
endereço 192.168.10.1
máscara de rede 255.255.255.0
rede 192.168.10.0
transmitir 192.168.10.255
auto eth2
iface eth2 inet estático
endereço 192.168.3.1
máscara de rede 255.255.255.0
rede 192.168.3.0
transmitir 192.168.3.255
Como você pode ver, cada interface de rede usa um intervalo diferente: eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
Reiniciamos a rede
/etc/init.d/networking restart
Criamos nosso script iptables com as regras que consideramos necessárias
nano /etc/network/if-up.d/firewall
Algumas regras importantes são
# eth0 é a interface conectada ao roteador e eth1 à rede local
# Tudo que vem do exterior e vai para as portas 80 e 433
# nós o redirecionamos para o servidor web (192.168.3.2) da zona intermediária
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --para 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --para 192.168.3.2:443
## Permitimos a passagem da rede local para o servidor web na zona intermediária
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACEITAR
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACEITAR
# Fechamos o acesso da zona intermediária à rede local
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPGostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
