Kandu.dk - Iptables med DMZ ?


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Iptables med DMZ ?
Fra : Brian Ipsen

Dato : 29-06-02 18:22

Hej!

Jeg forsøger at finde ud af hvordan jeg får iptables til at køre på
en maskine med DMZ netværk.

Hvis man udefra skal have adgang til en webserver i DMZ må det vel
være noget i stil med (antispoofing etc er selvfølgelig andet sted i
scriptet) - adresser på EXT_INT samt i DMZ er alle public adresser
(ingen NAT):

UNPRIVPORTS="1024:"
HTTP_SERVER_1="ww.xx.yy.zz"
EXT_INT="eth0"
DMZ_INT="eth1"
DMZ_NET="aa.bb.cc.dd/29"

iptables -N bad-dmz
iptables -N dmz-bad

iptables -A FORWARD -s $DMZ_NET -i $DMZ_INT -o $EXT_INT -j dmz-bad
iptables -A FORWARD -i $EXT_INT -o $DMZ_INT -j bad-dmz

# Incoming HTTP requests
iptables -A bad-dmz -p tcp \
--source-port $UNPRIVPORTS \
-d $HTTP_SERVER_1 --destination-port 80 -j ACCEPT

# Allow web-server to reply
iptables -A dmz-bad -p tcp ! --syn \
-s $HTTP_SERVER_1 --source-port 80 \
--destination-port $UNPRIVPORTS -j ACCEPT

Er det helt ved siden af ??

/Brian

Rasmus Bøg Hansen (30-06-2002)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 30-06-02 16:04

Brian Ipsen wrote:

> # Incoming HTTP requests
> iptables -A bad-dmz -p tcp \
> --source-port $UNPRIVPORTS \
> -d $HTTP_SERVER_1 --destination-port 80 -j ACCEPT
>
> # Allow web-server to reply
> iptables -A dmz-bad -p tcp ! --syn \
> -s $HTTP_SERVER_1 --source-port 80 \
> --destination-port $UNPRIVPORTS -j ACCEPT
>
> Er det helt ved siden af ??

Det ser såmænd ok ud - men hvorfor bruger du ikke "-m state --state
RELATED,ESTABLISHED"? Det er en hel del nemmere og du slipper for at skumle
portscans kan komme igennem.

Du skal så have --syn på bad-dmz reglen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Because I don't want to force you to follow my philosophy, even though
it happens to be the only possible correct philosophy.
-- Ted Lemon
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Brian Ipsen (30-06-2002)

Kommentar
Fra : Brian Ipsen

Dato : 30-06-02 23:47

On Sun, 30 Jun 2002 17:03:41 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>> # Incoming HTTP requests
>> iptables -A bad-dmz -p tcp \
>> --source-port $UNPRIVPORTS \
>> -d $HTTP_SERVER_1 --destination-port 80 -j ACCEPT
>>
>> # Allow web-server to reply
>> iptables -A dmz-bad -p tcp ! --syn \
>> -s $HTTP_SERVER_1 --source-port 80 \
>> --destination-port $UNPRIVPORTS -j ACCEPT
>>
>> Er det helt ved siden af ??
>
>Det ser såmænd ok ud - men hvorfor bruger du ikke "-m state --state
>RELATED,ESTABLISHED"? Det er en hel del nemmere og du slipper for at skumle
>portscans kan komme igennem.
>
>Du skal så have --syn på bad-dmz reglen.

Ok.... jeg prøver... det hele bliver nok en del mere skummelt hvis man
så komer i tanker om at smække de eksterne server IP-adresser på det
eksterne interface - og så have NAT på både DMZ og internt net (lidt i
stil med den måde det foregår i en Cisco PIX firewall)... Så skal jeg
også have smidt en gang DNAT ind i - men den tid, den glæde (eller
sorg)....

/Brian

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408871
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste