The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"* вопрос не для слабонервных "
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 09-Июл-04, 16:41  (MSK)
Условия
1. есть диапазон выделенный провайдером с маской .248
2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и 3й незадействован
3. есть веб сервер под вин 2003, которому очень надо смотреть наружу своей внешней карточкой.
Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся через внешний интерфейс, на нем должно быть видно с каких внешних адресов к нему стучатся. спасибо за советы)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "* вопрос не для слабонервных "
Сообщение от lamerusha Искать по авторуВ закладки on 09-Июл-04, 16:48  (MSK)
хм ... хотел было сказать - перебрасывай трифик средствами nat
, но наверное скажу вот так :

бери у прова еще одну сетку - вешай ее на 3-ий ифейс и рули своей DMZ как бог на душу положит....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 09-Июл-04, 17:24  (MSK)
> бери у прова еще одну сетку - вешай ее на 3-ий
>ифейс и рули своей DMZ как бог на душу положит....

А зачем еще то одну? И .248(/29) прекрасно бъется на две по .252(/30)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 09-Июл-04, 17:31  (MSK)
>> бери у прова еще одну сетку - вешай ее на 3-ий
>>ифейс и рули своей DMZ как бог на душу положит....
>
>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>.252(/30)


а можно подробнее об этом, я тоже пришел к этому, но пока не ясно, как это все будет работать, в принципе для меня реально разбить 248 на 2 с маской 252  (в первой 2 ип, один из которых шлюз прова, второй мой шлюз, во второй 2 ип, один из которых адрес 3-го ифейса шлюза а второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к 3-му интерфейсу шлюза.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 09-Июл-04, 17:41  (MSK)
>>> бери у прова еще одну сетку - вешай ее на 3-ий
>>>ифейс и рули своей DMZ как бог на душу положит....
>>
>>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>>.252(/30)
>
>
>а можно подробнее об этом, я тоже пришел к этому, но пока
>не ясно, как это все будет работать, в принципе для меня
>реально разбить 248 на 2 с маской 252  (в первой
>2 ип, один из которых шлюз прова, второй мой шлюз, во
>второй 2 ип, один из которых адрес 3-го ифейса шлюза а
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.


Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 09-Июл-04, 17:46  (MSK)
в том то и дело что не получилось без использования iptables пока так сделать, не видно снаружи веб сервака.
вот и спрашиваю подробнее

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "* вопрос не для слабонервных "
Сообщение от lamerusha Искать по авторуВ закладки on 09-Июл-04, 17:48  (MSK)
> Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.

хм... не скажу с точки зрения RFC, НО IMHO, без записей в таблице маршрутизации у прова не обойтись -> бить сетку никакого практического смысла не имеет.
   И потом лишние IP не помешают.

Короче я не знаю как в Линухе ЭТО будет выгдледить в деталях , но грубо говоря тебе придется
1) ПОДНЯТЬ МОСТ
2) в нат отправлять ТОЛЬКО серую сетку
3) фаерволом разрешить только www & dns
4) остальное по желанию....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "* вопрос не для слабонервных "
Сообщение от lamerusha Искать по авторуВ закладки on 09-Июл-04, 17:50  (MSK)
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.

и не увидит сервок прова будет адресовать .248  


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ну а как мост нарулить без особого гемора?"
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 09-Июл-04, 18:49  (MSK)
ну а как мост нарулить без особого гемора?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ну а как мост нарулить без особого гемора?"
Сообщение от Slider Искать по авторуВ закладки(??) on 09-Июл-04, 18:56  (MSK)
Ну а зачем мост-то?
1. Чем не подходит редирект натом?
2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное настройки чтоб правильные были.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ну а как мост нарулить без особого гемора?"
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 09-Июл-04, 19:12  (MSK)
>Ну а зачем мост-то?
>1. Чем не подходит редирект натом?
>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>настройки чтоб правильные были.


как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на другой, непонятно как это применить.

если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то это не подходит, нужен реальный ип на веб-серваке

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "ну а как мост нарулить без особого гемора?"
Сообщение от lamerusha Искать по авторуВ закладки on 09-Июл-04, 19:36  (MSK)
короче , склифасовский - те нужно просто включить маршрутизацию (где какую галочку нажать в linux  я те не скажу...) и усе - мост готов...;)))

нат те не подойдет по причине замены ip ... ты будешь "как бы" получать запросы от своего сервака....

есть еще така прога redir (може она токма под FreeBSD) вот она ip не меняет ... но у тя linux - ты сам себе выбрал сей гемор.... ;)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "ну а как мост нарулить без особого гемора?"
Сообщение от Slider Искать по авторуВ закладки(??) on 09-Июл-04, 20:00  (MSK)
>>Ну а зачем мост-то?
>>1. Чем не подходит редирект натом?
>>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>>настройки чтоб правильные были.
>
>
>как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на
>другой, непонятно как это применить.
>
>если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то
>это не подходит, нужен реальный ип на веб-серваке

я не знаю как это выглядит в iptables, могу сказать как в ipnat на фрях:

rdr "IP шлюза" port 80 -> "IP web server" port 80

В данном случае поля тех пакетоы, в которых destanation IP и destanation port совпадают с левой частью будут перезаписаны на правую часть. всё остальное не трогается. Другими словами web сервер будет получать нормальные пакеты, так как будто он стоит снаружи.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "* вопрос не для слабонервных "
Сообщение от Сергей emailИскать по авторуВ закладки(??) on 09-Июл-04, 20:02  (MSK)
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Все кричат, кричат.
Все можно сделать вообще не просто, а очень просто.
Средствами Апача.
В конфиге апача указываем

# VirtualHost www.типасервер.com
#
<VirtualHost IPАДРЕС>
    ServerAdmin адмиy@типаcервер.com
    ServerName www.типасервер.com
    ServerAlias *типасервер.com
ProxyPass / http://192.168.1.1??/ # Тута твой внутренний адрес (или в мозамбике)
ProxyPassReverse / http://192.168.1.1??/ # Он же
    ErrorLog /???/типасервер-error_log
    CustomLog /???/типасервер-access_log common

</VirtualHost>
Можете высказывать свои замечания. Вся секюрити на стороне линухового
сервера.
Делается за 30 секунд методом копирования в http.conf

Ну а дальше рестарт. и тихо радуемся.
Для желающих читать маны про апач.
Всеобщий привет!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(??) on 10-Июл-04, 13:44  (MSK)
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>

Да не страдайте вы все фигней! Мост, херост...

ifconfig eth0 x.x.x.2 netmask 255.255.255.252
ifconfig eth1 192.168.1.x netmask 255.255.255.0
ifconfig eth3 x.x.x.5 netmask 255.255.255.252

далее, веб-сервер кросовером воткнут в eth3 и имеет
ifconfig eth0 x.x.x.6 netmask 255.255.255.252

со стороны провайдер имеем
route add x.x.x.0 mask 255.255.255.248 x.x.x.1

ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 12-Июл-04, 12:48  (MSK)
>
>Да не страдайте вы все фигней! Мост, херост...
>
>ifconfig eth0 x.x.x.2 netmask 255.255.255.252
>ifconfig eth1 192.168.1.x netmask 255.255.255.0
>ifconfig eth3 x.x.x.5 netmask 255.255.255.252
>
>далее, веб-сервер кросовером воткнут в eth3 и имеет
>ifconfig eth0 x.x.x.6 netmask 255.255.255.252
>
>со стороны провайдер имеем
>route add x.x.x.0 mask 255.255.255.248 x.x.x.1
>
>ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.


да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на x.x.x.6, авот если ему прописать
route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок, но это пока невозможно

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 12-Июл-04, 13:00  (MSK)
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможно

ПОКАЖИТЕ МНЕ ЭТОГО ПРОВА!!!! У него там студенты что-ли работают???

Так быть не должно. ваш пров должен весь выделеный вам диапазон роутить на вас или на интерфейс в вашу сторону.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "* вопрос не для слабонервных "
Сообщение от boykov emailИскать по авторуВ закладки(ok) on 13-Июл-04, 20:38  (MSK)
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможно

Ну как так не работает? значит не полностью следовали инструкции. Все исключительно правильно. А коль не работает -- ifconfig ваш в студию. И, желательно, прововский route -n (sh routes) покажите. И ваш iptables -Ln

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(??) on 14-Июл-04, 00:37  (MSK)
>Ну как так не работает? значит не полностью следовали инструкции. Все исключительно
>правильно. А коль не работает -- ifconfig ваш в студию. И,
>желательно, прововский route -n (sh routes) покажите. И ваш iptables -Ln

Ну, наконец-то хоть один вменяемый человек появился!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "* вопрос не для слабонервных "
Сообщение от ZXVF Искать по авторуВ закладки on 12-Июл-04, 18:08  (MSK)
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>


rinetd

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "* вопрос не для слабонервных "
Сообщение от lamerusha Искать по авторуВ закладки on 14-Июл-04, 10:28  (MSK)
>Ну, наконец-то хоть один вменяемый человек появился!

хм.   в обучение IT важно получить правильное направление,ведь важен личный опыт, а не работа с "буфером обмена" ;)))

IMHO тебе было дано ... и не одно ... любое из предлженных решений СПОСОБНО решить твою задачу ...
+Еще можно добавит squid http_accl

А ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((


  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "* вопрос не для слабонервных "
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 14-Июл-04, 10:32  (MSK)
>А ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((

Простите, это мне??? Если да --- то перечтите тред с начала.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "ЧТО ТО ТЫ РАЗОШЕЛСЯ!!! -))"
Сообщение от eugene33 emailИскать по авторуВ закладки(ok) on 14-Июл-04, 10:45  (MSK)
КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d 63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80

НО это не подходит по причинам описанным выше, то что можно накрутить рутер провайдера это понятно и возможно я добъюсь от них этого, насчет моста  - просто связываться лень (на отдельной машмне бы попробовал но не на работающем шлюзе).

Всем спасибо. Удачи.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "ЧТО ТО ТЫ РАЗОШЕЛСЯ!!! -))"
Сообщение от BlackSir emailИскать по авторуВ закладки(??) on 14-Июл-04, 13:49  (MSK)
>КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера
>сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d
>63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80
>
>НО это не подходит по причинам описанным выше, то что можно накрутить
>рутер провайдера это понятно и возможно я добъюсь от них этого,
>насчет моста  - просто связываться лень (на отдельной машмне бы
>попробовал но не на работающем шлюзе).
>
>Всем спасибо. Удачи.

Чем тебе не нравится способ с битием подсетки /29 на две по /30 ?
Есть правда один ньюанс (подразумеваем что тебе дается Ethernet):
т.к. у прова прописана подсетка /29, то он и будет кидать тебе все пакеты которые тебе предназначены, если сможет отрезолвить MAC-адрес(!).  А узнать MAC твоего www он не сможет, т.к. никто ему не ответит. Во FreeBSD это решается установкой sysctl net.link.ether.inet.proxyall=1. Т.е. приходит 'arp who-has' от прова, твой Linux его хватает, переправляет МАС отпавителя на свой и раскидывает по интерфейсам. www посылает 'arp reply' твоему Linux который (переправляя МАС на свой) отправляет его прову, дальше уже пров начинает посылать IP-пакеты непосредственно с целевым МАС твоего Linux который их маршрутизирует...

Короче: ищи аналог net.link.ether.inet.proxyall в линухе

  Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "СПАСИБО!! один умный чел подсказал разумное решение"
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 14-Июл-04, 19:17  (MSK)
arp -i eth0 -Ds 63.118.90.86 eth2  
спасло гиганта мысли !!!

спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "СПАСИБО!! один умный чел подсказал разумное решение"
Сообщение от lamerusha Искать по авторуВ закладки on 15-Июл-04, 10:55  (MSK)
>arp -i eth0 -Ds 63.118.90.86 eth2

         Как мне кажется в такой конфигурации твой провайдер будет считать broadcast за трафик... Или у тебя есть средства контроля за arp ??? подскажи ..

          Вообще решение очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера компании... без изменения топологии сети ...  
          Кто нить использует arp proxy в этих целях ??? Есть впечатления от      
работы с этой технологией ???

  Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "СПАСИБО!! один умный чел подсказал разумное решение"
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 15-Июл-04, 11:02  (MSK)
>Кто нить использует arp proxy в этих целях ???

Предупреждение: нижесказаное IMHO

Я бы за использование arp-proxy руки-ноги-головы бы отрывал.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "СПАСИБО!! один умный чел подсказал разумное решение"
Сообщение от lamerusha Искать по авторуВ закладки on 15-Июл-04, 11:20  (MSK)
>Я бы за использование arp-proxy руки-ноги-головы бы отрывал.

Расскажи причины своего недовольства ...,  как мне кажется используя данную технологию можно собрать Switch Layer III
  p.s. BSD - вот на что готов пойти человек , что бы не покупать Cisco ;)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 15-Июл-04, 15:54  (MSK)
>>arp -i eth0 -Ds 63.118.90.86 eth2
>
>         Как мне кажется
>в такой конфигурации твой провайдер будет считать broadcast за трафик... Или

честно говоря мне наплевать)


>          Вообще решение
>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>компании... без изменения топологии сети ...
>          Кто нить
>использует arp proxy в этих целях ??? Есть впечатления от
>работы с этой технологией ???

в общем чтоб все работало нормально надо добавить к той строчке что я приводил pub  - кто нибудь знает что это такое?

есть один трабл - я надеялся крутить файрволл на iptables в цепочке input, но похоже пакеты приходящие на внутренний сервак не попадают в инпут, приходится крутить все на форварде - кто что посоветует или прояснит?
еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть через внешний интерфейс на адрес второй внешней карточки (если конкретно на ФВ не закрыто), похоже что этот адрес можно юзать снаружи как второй адрес внешней карточки.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от Andrew Искать по авторуВ закладки(??) on 20-Июл-04, 08:13  (MSK)
>>>arp -i eth0 -Ds 63.118.90.86 eth2
>>
>>         Как мне кажется
>>в такой конфигурации твой провайдер будет считать broadcast за трафик... Или
>
>честно говоря мне наплевать)
>
>
>>          Вообще решение
>>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>>компании... без изменения топологии сети ...
>>          Кто нить
>>использует arp proxy в этих целях ??? Есть впечатления от
>>работы с этой технологией ???
>
>в общем чтоб все работало нормально надо добавить к той строчке что
>я приводил pub  - кто нибудь знает что это такое?
>
>
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже изобрели, и оно достаточно круглое !
http://www.boutell.com/rinetd/

  Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 21-Июл-04, 11:30  (MSK)
>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>изобрели, и оно достаточно круглое !
>http://www.boutell.com/rinetd/

прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний сервер (таких способов несколько в том числе и ринетд) мне надо чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый файрволл.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

31. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от Andrew Искать по авторуВ закладки(??) on 22-Июл-04, 08:06  (MSK)
>>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>>изобрели, и оно достаточно круглое !
>>http://www.boutell.com/rinetd/
>
>прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний
>сервер (таких способов несколько в том числе и ринетд) мне надо
>чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый
>файрволл.
Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно. Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так, как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый файрволл" поподробнее, я всегда считал что файрвол либо есть либо его нет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

32. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 22-Июл-04, 09:58  (MSK)
Надеюсь, не стоит Вам объяснять, что такое DMZ?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

33. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 22-Июл-04, 11:09  (MSK)

>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>нет.

То же самое делает и iptables (cм строчку выше), но это не подходит так как по ряду причин у веб-сервака должен быть внешний реальный айпишник.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

34. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от AlexK. Искать по авторуВ закладки on 22-Июл-04, 13:46  (MSK)
>
>>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>>нет.
>
>То же самое делает и iptables (cм строчку выше), но это не
>подходит так как по ряду причин у веб-сервака должен быть внешний
>реальный айпишник.
Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам не знаеш что тебе надо ...


  Рекомендовать в FAQ | Cообщить модератору | Наверх

35. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от boykov emailИскать по авторуВ закладки(ok) on 22-Июл-04, 13:58  (MSK)
>Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам
>не знаеш что тебе надо ...
нихрена подобного. в варианте rinetd он будет
listen 192.168...
а надо -- listen реальный ИП

  Рекомендовать в FAQ | Cообщить модератору | Наверх

36. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от lamerusha Искать по авторуВ закладки on 22-Июл-04, 15:11  (MSK)
надо уж закрыть эту тему ... а то Вопрос такой , что каждый старается ответить ...  ;)))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

38. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от Alexei4 Искать по авторуВ закладки on 22-Июл-04, 18:34  (MSK)
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
INPUT - это то, что приходит непосредственно на сам Фиреволл.
FORWARD - это то, что через него проходит.
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Теоретически мы бессмертны, практически - бессмертны единицы. На то и фиреволл, чтоб овцы были сыты и волки целы, а пастух целый день пил пиво. Иного назначения для фиреволла, пожалуй, не найдется.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

40. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 22-Июл-04, 19:16  (MSK)
>>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>>инпут, приходится крутить все на форварде - кто что посоветует или
>>прояснит?
>INPUT - это то, что приходит непосредственно на сам Фиреволл.
>FORWARD - это то, что через него проходит.

да это понятно, но я ожидал что на инпуте eth2 (тот что в дмз светит своим задом) можно будет ограничивать вход на внутренний сервак - ан нет, получилось что только на форварде можно рулить


  Рекомендовать в FAQ | Cообщить модератору | Наверх

42. "ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Сообщение от Alexei4 Искать по авторуВ закладки on 22-Июл-04, 19:23  (MSK)
>да это понятно, но я ожидал что на инпуте eth2 (тот что
>в дмз светит своим задом) можно будет ограничивать вход на внутренний
>сервак - ан нет, получилось что только на форварде можно рулить
>
Увы. Дока неумолимо говорит об обратном.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

37. "* вопрос не для слабонервных "
Сообщение от Alexei4 Искать по авторуВ закладки on 22-Июл-04, 18:30  (MSK)
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Что мешает тебе сделать как-нибудь так:
Linux: ifconfig eth3 x.x.x.3 netmask 255.255.255.248

Windows: прописываешь адрес интерфейса(на сетевой карте) x.x.x.4
         маршрут по умолчанию x.x.x.3

Linux:
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -j DROP
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -j DROP

  Рекомендовать в FAQ | Cообщить модератору | Наверх

39. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 22-Июл-04, 19:14  (MSK)
ну попробуй 2 интерфейса на линухе из одной подсети настроить
с маршрутизацией между ними))

для этого и разбили подсетку 29 на 2 30

  Рекомендовать в FAQ | Cообщить модератору | Наверх

41. "* вопрос не для слабонервных "
Сообщение от Alexei4 Искать по авторуВ закладки on 22-Июл-04, 19:23  (MSK)
>ну попробуй 2 интерфейса на линухе из одной подсети настроить
>с маршрутизацией между ними))
>
route add -host x.x.x.4(или как там твой мастдай зовется) dev eth3(или что там у тебя на мастдай смотрит)
по-моему так.
>для этого и разбили подсетку 29 на 2 30
И поднялась рука?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

43. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 22-Июл-04, 19:30  (MSK)
подними такое на VM  - получится скажешь)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

44. "* вопрос не для слабонервных "
Сообщение от Alexei4 Искать по авторуВ закладки on 23-Июл-04, 10:04  (MSK)
>подними такое на VM  - получится скажешь)

Есть вариант еще проще, но это, разумеется, не так секьюрно:
ставишь хаб/свитч, куда втыкаешь
а) eth от прова
б) eth от мегароутера
в) eth от мегавебсервера
Это, конечно, если у тебя от прова Ethernet(У меня сделано по такой схеме, токо там не вебсервера)

Втыкнувши свой мегавебсервер в локалку, даешь ему реалный ип, шлюзом говоришь eth0 твоего мегароутера. Наслаждаешься.
Ну и, естественно, iptables по вкусу.

Можно еще поглядеть в сторону TCP-mapping. Что тоже достигается при помощи могучего иптаблеса.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

45. "* вопрос не для слабонервных "
Сообщение от neomag emailИскать по авторуВ закладки(??) on 23-Июл-04, 17:52  (MSK)
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>

неясно как это поможет безопасности машины под виндой, порты и в windows закрыть можно, и нахождение за *nix роутером ничем не поможет, если будут ломать, то через законно открытый 80 порт.

так что не в ту сторону роете.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

46. "* вопрос не для слабонервных "
Сообщение от eugene33 emailИскать по авторуВ закладки(??) on 23-Июл-04, 18:05  (MSK)
>неясно как это поможет безопасности машины под виндой, порты и в windows
>закрыть можно, и нахождение за *nix роутером ничем не поможет, если
>будут ломать, то через законно открытый 80 порт.
>
>так что не в ту сторону роете.

для кого то нет разницы стоит винда с исой и смотрит наружу или линух с нормальным фв, а для кого то есть-)

кому то может ваще нравятся дыры глюки винды, а мне нет)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

47. "* вопрос не для слабонервных "
Сообщение от neomag emailИскать по авторуВ закладки(ok) on 28-Июл-04, 12:37  (MSK)
>для кого то нет разницы стоит винда с исой и смотрит наружу
>или линух с нормальным фв, а для кого то есть-)
>кому то может ваще нравятся дыры глюки винды, а мне нет)


вроде автор спросил как обезопасить хост под win2003,
т.е. вопрос смены IIS на апач/*nix не обсуждается(может там .asp крутятся-кто их переписывать будет?)

и какой бы ВЫ, eugene33, не поставили бы "фв" он ни на грам
НЕ МОПОЖЕТ защититься от атаки, ориентированной на сервис HTTP.
Повторюсь, закрывать порты умеют даже персональные файрволы под win95,
и никаких приемуществ у iptables в этом отношнении нет(ну есть конечно некие бонусы в виде --reject-with tcp-reset например)

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру