4 votos

Configuración de DMZ en LRT214

Quiero aprender más sobre la tecnología de redes. Por lo tanto, quiero ejecutar una frambuesa pi en la DMZ como un servidor web.

Lo que está funcionando: El servidor Appache en la pi está funcionando. Cuando lo uso en la LAN y permito que el Linksys reenvíe los puertos al local 192.168.1.xxx (IP estática), puedo acceder a él desde el exterior.

Mi problema: No pude encontrar la configuración correcta, cuando se conecta en el puerto DMZ.

Configuración del LRT214: (Recibido del ISP, funcionando)

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Ajuste que no entiendo (en LRT214):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Qué se quiere decir con esto. Es esta la IP, que voy a utilizar como IP estática en la frambuesa?

*Ajustes en los que necesito ayuda: Raspberry /etc/network/interfaces "

Asumo que tengo que escribir aquí algo significativo en forma de:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

De todos modos mis intentos con 192.168.1.xxx y 12.34.56.xx fallaron.

Soy consciente de que mi siguiente paso es configurar el iptables en la frambuesa correctamente. Mi plan es bloquear todo excepto http: y ssh: aquí.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Gracias por su ayuda en la configuración correcta.

Editar Mientras escribo esto me pregunto si la frambuesa en la DMZ necesitaría una IP WAN estática separada. Aparte de 12.34.56.01. Porque ¿cómo debería el router saber qué tráfico debe ser dirigido a la frambuesa y cuál debe ser dirigido a la LAN? Alguna configuración importante que me haya perdido.

1voto

MariusMatutiae Puntos 20077

Tres comentarios:

  1. Su configuración actual hace que su IP sea idéntica a cualquier otro PC dentro de su LAN, es decir no está en una DMZ. Estar en una DMZ significa tanto que los puertos de Internet están correctamente configurados, como que está aislado del resto de su LAN, de manera que si un intruso accede a su servidor Pi, no puede acceder al resto de sus pcs. Esto requiere una construcción especial llamada una VLAN que lo separa del resto de su LAN: la buena noticia es que su LRT214 lo hace automáticamente por usted si especifica la dirección IP de la Pi dentro de la máscara DMZ, como se especifica en la página 16 de el manual de usuario del LRT214 .

  2. La estrofa del /etc/network/interfaces debería ser:

    auto eth0
    iface eth0 inet static
        address 192.168.73.94
        netmask 255.255.255.0
        gateway 192.168.73.1
        dns-nameservers 192.168.73.1 
        dns-nameservers 8.8.8.8 

    Recuerde que debe adaptarlo a su caso.

  3. Te falta lo siguiente, lo más importante iptables regla:

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Instruye a la netfilter firewall para permitir los paquetes (en puertos también diferentes de 80 y 22) que pertenecen a las conexiones que ya están en curso. El conexiones en curso ambos son iniciados por alguien que se conecta a sus puertos 80 y 22, pero también las conexiones usted iniciado: si se omite esta regla, no habrá seguimiento de las propias consultas, incluyendo las actualizaciones, la carga de páginas web, la conexión a máquinas locales y remotas, etc.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: