Configuração da DMZ no LRT214

Navegue suas respostas
4

Eu quero aprender mais sobre tecnologia de rede. Portanto, quero executar um pi de framboesa no DMZ como um servidor da Web.

O que está funcionando: O Appache Server no pi está funcionando. Quando eu uso na LAN e permito que o Linksys encaminhe as portas para o local 192.168.1.xxx (IP estático), posso acessá-lo pelo lado de fora.

Meu problema: Eu não encontrei a configuração correta, quando ela está conectada na porta DMZ.

Configuração do LRT214: (Obtido do ISP, trabalhando) 

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Configuração não entendo (no LRT214): 

DMZ Private IP Addres:   xxx.xxx.xxx.xx

O que isso significa? Este é o IP, que eu devo usar como IP estático na framboesa?

* Configurações em que preciso de ajuda: Raspberry /etc/network/interfaces "

Eu assumo que tenho que escrever aqui algo significativo na forma de: 

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

De qualquer forma, minhas tentativas com 192.168.1.xxx e 12.34.56.xx falharam.

Estou ciente de que o próximo passo é configurar corretamente o iptables no framboesa. Meu plano é bloquear tudo, exceto http: e ssh: aqui. 

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Obrigado pela sua ajuda na configuração correta.

Editar Enquanto escrevo isso, eu estou querendo saber se a framboesa na DMZ precisaria de um IP WAN estático separado. Diferente de 12.34.56.01. Porque como o roteador deve saber qual tráfego deve ser roteado para o framboesa e qual deve ser roteado para a LAN? Qualquer configuração importante que eu tenha perdido.

    
por BerndGit 22.04.2016 / 16:41

1 resposta

2

Três comentários:

  1. Sua configuração atual torna seu PI idêntico a qualquer outro PC dentro de sua LAN, isto é, não está em uma DMZ. Estar em uma DMZ significa que ambas as portas da Internet estão configuradas corretamente e que estão isoladas do resto de sua LAN, de modo que se um intruso tiver acesso ao seu servidor Pi, ele ainda não poderá acessar o resto de seus computadores. Isto requer uma construção especial chamada uma VLAN que a separa do resto da sua LAN: a boa notícia é que o seu LRT214 faz isso automaticamente se você especificar o endereço IP do Pi dentro da máscara DMZ, como especificado na página 16 do Manual do usuário do LRT214 .

  2. A sub-rotina do /etc/network/interfaces deve ser: 

    auto eth0
iface eth0 inet static
    address 192.168.73.94
    netmask 255.255.255.0
    gateway 192.168.73.1
    dns-nameservers 192.168.73.1 
    dns-nameservers 8.8.8.8

    Por favor, lembre-se de adaptar isso ao seu caso.

  3. Você está sem a seguinte regra iptables : 

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Ele instrui o firewall netfilter a permitir pacotes (em portas também diferentes de 80 e 22) que pertencem a conexões que já estão em andamento. As conexões em andamento são iniciadas por alguém se conectando às suas portas 80 e 22, mas também as conexões iniciadas : se você perder esta regra , não haverá acompanhamento de suas próprias consultas, incluindo atualizações, carregamento de páginas da Web, conexão a computadores locais e remotos e assim por diante.

por 02.05.2016 / 10:43

Tags

O servidor TightVNC não obtém cliques com o botão direito do cliente do Mac Screen Sharing / VNC? Implementar uma confirmação de desligamento?