4

Я хочу узнать больше о сетевых технологиях. Поэтому я хочу запустить Raspberry Pi в DMZ в качестве веб-сервера.

Что работает: Сервер приложений на пи работает. Когда я использую его в локальной сети и позволяю Linksys переадресовывать порты локально 192.168.1.xxx (статический IP), я могу получить к нему доступ извне.

Моя проблема: я не могу найти правильную конфигурацию, когда она подключена к порту DMZ.

Конфигурация LRT214: (Получил от провайдера, работает) 

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Настройка, которую я не понимаю (на LRT214):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Что подразумевается под этим. Это тот IP, который я буду использовать в качестве статического IP в малине?

* Настройки, где мне нужна помощь: Raspberry /etc/network/interfaces "

Я предполагаю, что я должен написать здесь что-то значимое в виде:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

Во всяком случае, мои попытки с 192.168.1.xxx и 12.34.56.xx не увенчались успехом.

Я знаю, что мой следующий шаг - правильно настроить iptables на малине. Мой план состоит в том, чтобы заблокировать все, кроме http: и ssh: здесь.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Спасибо за вашу помощь в правильной настройке.

Редактировать Во время написания этой статьи мне интересно, понадобится ли малине в DMZ отдельный статический WAN IP. Кроме 12.34.56.01. Потому что как маршрутизатор должен знать, какой трафик должен быть направлен на малину, а какой - на локальную сеть? Любые важные настройки, которые я пропустил.

|источник

1 ответ1

2

Три комментария:

  1. Ваша текущая конфигурация делает ваш PI идентичным любому другому компьютеру в вашей локальной сети, т.е. он не находится в DMZ. Нахождение в DMZ означает, что порты из Интернета правильно настроены, и что он изолирован от остальной части вашей локальной сети, так что если злоумышленник получит доступ к вашему серверу Pi, он все равно не сможет получить доступ к остальным вашим компьютерам. Для этого требуется специальная конструкция, называемая VLAN, которая отделяет ее от остальной части вашей локальной сети: хорошая новость заключается в том, что ваш LRT214 делает это автоматически для вас, если вы укажете IP-адрес Pi в маске DMZ, как указано на странице 16 LRT214. Руководство пользователя

  2. Раздел в /etc/network/interfaces должен быть:

    auto eth0
iface eth0 inet static
    address 192.168.73.94
    netmask 255.255.255.0
    gateway 192.168.73.1
    dns-nameservers 192.168.73.1 
    dns-nameservers 8.8.8.8

    Пожалуйста, не забудьте адаптировать это к вашему случаю.

  3. Вам не хватает следующего, очень важного правила iptables :

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Он указывает брандмауэру netfilter разрешать пакеты (на портах, отличных от 80 и 22), которые относятся к уже выполняемым соединениям. Выполняемые соединения устанавливаются кем-то, кто подключается к вашим портам 80 и 22, но также и соединениями, которые вы инициировали: если вы пропустите это правило, ваши запросы не будут отслеживаться, включая обновления, загрузку веб-страниц, подключение на локальные и удаленные машины и тд.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .