web-dev-qa-db-ja.com

LRT214でのDMZ

ネットワーク技術についてもっと知りたいです。したがって、RaspberryPiをDMZでWebサーバーとして実行したいと思います。

機能しているもの:pi上のAppacheサーバーが機能しています。 LANで使用し、Linksysがポートをローカル192.168.1.xxx(静的IP)に転送できるようにすると、外部からアクセスできます。

私の問題:DMZポートに接続されていると、正しい構成が見つかりません。

LRT214の構成:( ISPから入手、動作中)

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

設定がわかりません(LRT214):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

これはどういう意味ですか。これは、ラズベリーの静的IPとして使用するIPですか?

*ヘルプが必要な設定:Raspberry /etc/network/interfaces "

私はここに次の形で意味のある何かを書かなければならないと思います:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

とにかく、192.168.1.xxxと12.34.56.xxでの試行は失敗しました。

次のステップは、ラズベリーにiptablesを正しく設定することです。私の計画は、ここでhttp:ssh:を除くすべてをブロックすることです。

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

正しいセットアップにご協力いただきありがとうございます。

編集これを書いている間、DMZのラズベリーは別の静的WANIP。12.34以外が必要かどうか疑問に思っています。 56.01。ルーターは、どのトラフィックをラズベリーにルーティングする必要があり、どのトラフィックをLANにルーティングする必要があるかをどのように知る必要があるのでしょうか?私が見逃した重要な設定。

routeriptablesdmz
4
BerndGit

3つのコメント:

  1. 現在の構成では、PIはLAN内の他のPCと同じになります、つまりDMZにはありません。 DMZにあるということは、インターネットからのポートが正しく構成されていることと、侵入者がPiサーバーにアクセスした場合でも侵入者がPiサーバーにアクセスできるようにLANの他の部分から分離されていることの両方を意味します。残りのPCにアクセスできません。これには、LANa VLANと呼ばれる特別な構造が必要です。これにより、LANが残りのLANから分離されます。幸いなことに、LRT214がこれを自動的に実行します。 DMZマスク内でPiのIPアドレスを指定した場合、 LRT214のユーザーマニュアル の16ページで指定されています。

  2. /etc/network/interfacesのスタンザは次のようになります。

    auto eth0
iface eth0 inet static
    address 192.168.73.94
    netmask 255.255.255.0
    gateway 192.168.73.1
    dns-nameservers 192.168.73.1 
    dns-nameservers 8.8.8.8

    これをあなたのケースに適応させることを忘れないでください。

  3. 次の非常に重要なiptablesルールがありません。

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    netfilterファイアウォールに、すでに進行中の接続に関連するパケット(80および22とは異なるポート上)を許可するように指示します。進行中の接続は両方とも、ポート80と22に接続している誰かによって開始されますが、接続あなたが開始しました:このルールを見逃した場合、更新、Webページの読み込み、ローカルへの接続など、独自のクエリへのフォローアップはありませんおよびリモートマシンなど。

1
MariusMatutiae