usługi lokalne, przekierowania portów,DMZ - iptables

[bor1904]

Witam

Chciałbym się dowiedzieć jak działa w prawie każdym routerze taka funkcjonalność:

- router świadczy sam usługi
- ma mozliwość ustawienia przekierowywania konkretnych portów na konkretne ip w LAN
- ma możliwość ustawienia jednego z komputerów w LAN jako DMZ


Zastanawiam się jak to wygląda od strony iptables

dwa pierwsze umiem pogodzić ale jak działa ten niby DMZ w routerkach ?


pozdrawiam i z góry dziekuję

[Paweł Kraszewski]

DMZ to takie coś zawieszone między LAN a WAN.

Zezwolenia na ruch są na ogół takie (chodzi o możliwość zainicjalizowania komunikacji):
LAN-->WAN
DMZ<->WAN
LAN-->DMZ

Czyli DMZ widoczny jest z WAN, ale z DMZ nie dostaniesz się do LAN (ergo, nawet jak ktoś skompromituje maszynę w DMZ to nie przejdzie do LAN).

[bor1904]

dzieki za zainteresowanie.
jednak dalej nie wiem na jakiej zasadzie działa to na routerkach z biedronki za 150 zł

tam chyba nie ma mowy aby nie dało sie z DMZ -> LAN ponieważ wszystkie maszyny sa na jednym switchu

[Paweł Kraszewski]

Dużo z tych wbudowanych switchy obsługuje na warstwie fabrica VLAN-y. Po prostu dla DMZ-ta robi się nowy VLAN odseparowany od pozostałych gniazd LAN (tak to w każdym razie działa na moim WRT-54)

[bor1904]

tego się bałem

dziekuje Ci za pomoc

[roobal]

Jeśli chodzi o routery sprzętowe to będzie jak pisze pkraszewski jest to już rozwiązane fabryczne, jeśli chcesz tworzyć router programowy ze zwykłego komputera to ustawiasz reguły iptables dla DMZ

Pozdrawiam!

[Paweł Kraszewski]

@bor1904 - a napisz, jak masz sprzęt. Czy teraz masz w PCcie 2 karty (LAN i WAN) i do LAN zapięty switch i chcesz jeden z portów w tym switchu wygospodarować na DMZ?

Jeżeli to jest switch obsługujący VLANy, to kernele spokojnie obsługują trunki. Każdy VLAN z trunka możesz zobaczyć jako osobną kartę ethernet (coś a'la subinterfejs z Cisco). Zwykłe porty dajesz np. do VL2, DMZ do VL3, serwer podpinasz do portu trunkowego, robisz osobne subinterfejsy dla VL2 i VL3 i na tabeli FORWARD decydujesz kto gdzie ma dostęp.

Jeżeli to switch "mydelniczka", to rozwiązaniem może być dołożenie osobnej karty do serwera dla DMZ.

Zarządzanie forwardami w "klasycznym" DMZ-cie mogą być takie (zamień if_wan, if_lan, if_dmz na odpowiednie ETH-y)

Kod: [Zaznacz]

# Czyszczenie tabeli FORWARD
iptables -F FORWARD
# Puść odpowiedzi na wcześniej zezwolony ruch (potencjalnie "pod włos"
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Zezwól LAN -> DMZ
iptables -A FORWARD -i if_lan -o if_dmz -j ACCEPT
# Zezwól LAN -> WAN
iptables -A FORWARD -i if_lan -o if_wan -j ACCEPT
# Zezwól WAN <-> DMZ
iptables -A FORWARD -i if_wan -o if_dmz -j ACCEPT
iptables -A FORWARD -i if_dmz -o if_wan -j ACCEPT
# Wywal wszystko inne
iptables -P FORWARD DROP

[roobal]

Gdyby Cię to interesowało to tutaj masz jeszcze dodatkow wszystko ładnie opisane co i jak http://linux.howto.pl/artykuly,linux-20-9-0.html

Pozdrawiam!