Как поднять и настроить DMZ
Модераторы: SLEDopit, Модераторы разделов
-
xrootx
- Сообщения: 92
Как поднять и настроить DMZ
Как средствами Linux можно поднять DMZ то есть чтобы все пакеты пришедшие из интернета на сервер переадресовывались на определённый комп в локальной сети
-
snake
- Бывший модератор
- Сообщения: 677
Re: Как поднять и настроить DMZ
DNAT
В реальности все не так, как на самом деле...
JabberID: zmeyk@jabber.ru
JabberID: zmeyk@jabber.ru
-
xrootx
- Сообщения: 92
Re: Как поднять и настроить DMZ
погуглил и вот нашёл:
DNAT и с чем его едят
Обозначения
$EXT_R_IP - внешний IP роутера
$LOCAL_IP - внутренний "фэйковый" адрес машины, которую надо "выкидывать" наружу
$PORT1 - Порт, на который будут заходить извне и попадать на локальную машину
$PORT2 - Порт, который "выбрасывается" наружу(например, 80 - http, либо 21 - ftp)
На роутере говорим следующие команды(от рута)
# iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
# iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT
Вроде всё норм, но одно но, мне нужно прокинуть не один а порт а все порты, ну или почти все X)
DNAT и с чем его едят
Обозначения
$EXT_R_IP - внешний IP роутера
$LOCAL_IP - внутренний "фэйковый" адрес машины, которую надо "выкидывать" наружу
$PORT1 - Порт, на который будут заходить извне и попадать на локальную машину
$PORT2 - Порт, который "выбрасывается" наружу(например, 80 - http, либо 21 - ftp)
На роутере говорим следующие команды(от рута)
# iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
# iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT
Вроде всё норм, но одно но, мне нужно прокинуть не один а порт а все порты, ну или почти все X)
-
xrootx
- Сообщения: 92
Re: Как поднять и настроить DMZ
оказалось всё намного проще чем я думал, нужно было всего лишь не писать $PORT1 и $PORT2
-
xrootx
- Сообщения: 92
Re: Как поднять и настроить DMZ
появилась проблемка, вот схема сети
компьютер---Сервер--модем--интернет
Компьютер - 192.168.0.11 Сервер - 192.168.0.1 Модем (в режиме роутера) - 192.168.0.2
Раньше было так, на модеме DMZ был прописан на 0.11, теперь я прописал
dmz в модеме на 0.1, и на 0.1 с помощью iptables прописал на 0.11,
начал тестить что получилось и увидел следующее при соединение из
интернета телнетом коннект происходит, НО дальше не чего не
происходит... тесть просто чёрный экран... на 0.11 в фарволе я вижу соединение... то есть как я понимаю трафик на 0.11 приходит а обратно не уходит? Просьба помочь разобраться, надеюсь нормально сформулировал проблему?
компьютер---Сервер--модем--интернет
Компьютер - 192.168.0.11 Сервер - 192.168.0.1 Модем (в режиме роутера) - 192.168.0.2
Раньше было так, на модеме DMZ был прописан на 0.11, теперь я прописал
dmz в модеме на 0.1, и на 0.1 с помощью iptables прописал на 0.11,
начал тестить что получилось и увидел следующее при соединение из
интернета телнетом коннект происходит, НО дальше не чего не
происходит... тесть просто чёрный экран... на 0.11 в фарволе я вижу соединение... то есть как я понимаю трафик на 0.11 приходит а обратно не уходит? Просьба помочь разобраться, надеюсь нормально сформулировал проблему?
-
xrootx
- Сообщения: 92
Re: Как поднять и настроить DMZ
разобрался.... теперь интересует такой вопрос, допутим есть такое правило:
-A PREROUTING -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp -j DNAT --to-destination 192.168.0.11
как сделать чтобы пакеты которые идут на 80 порт шли на 0.1, пробывал сделать:
-A PREROUTING -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80
но это правило не перекрывает предыдущие, как сделать чтобы перекриывало?
-A PREROUTING -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp -j DNAT --to-destination 192.168.0.11
как сделать чтобы пакеты которые идут на 80 порт шли на 0.1, пробывал сделать:
-A PREROUTING -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80
но это правило не перекрывает предыдущие, как сделать чтобы перекриывало?
-
xrootx
- Сообщения: 92
Re: Как поднять и настроить DMZ
тоже разобрался, нужно чтобы это правило было прописанно выше чем другое в /etc/sysconfig/iptables