Oprette DMZ [LØST]

Firewall er vel nærmest synonym med iptables, når vi taler om Linux, og man kan gøre rigtig meget med iptables. Bl.a. kan du forwarde trafik til forskellige lokale ip-adresser afhængigt af port eller andre kriterier, eller du kan droppe uønsket trafik.

Det kan let blive lidt kompliceret, så jeg orker ikke på nuværende tidspunkt at komme med eksempler, du måske alligevel ikke kan bruge, men jeg kan anbefale Linux Network Administrator's Guide, 3rd Edition, http://shop.oreilly.com/product/9780596005481.do

PS: Det skal være 3rd edition. De foregående er forældede.

Jeg kender og bruger ikke 3's router, men deres adapter (modem) og en computer som router. Det er fordi jeg skal bruge et redundant transportabelt internet.

Det er ISP der har ansvaret til og med routeren. Hvis den ikke virker efter hensigten, skal man kontakte dem. Det er muligt den skal byttes, eller at de har en anvisning/forklaring.

Blokerede porte inbound defineres almindeligvis i NAT på routeren. Når NAT er aktiveret vil alle porte være lukkede udefra som standard. Det er ofte også her åbne porte udefra og port forwarding defineres.

Stealth og outbound connections defineres ofte af Firewall. De der routere grænseflader er forskellige, så det er kun muligt at beskrive generelt.

Hvis du vil oprette en demilitariseret zone (DMZ), hvordan havde du så tænkt at LAN skal se ud? Bruger du eksempelvis en dedikeret web/ftp server?

Det er ikke til at sige om iptables til en dedikeret web/ftp server er nok uden mere info. Bruger du eksempelvis scripts af en slags på serveren? Der er sikkerhedsbetragtninger med PhP m.f..

Hvis web/ftp serveren bruges til at browse internettet, eksempelvis hvis det handler om din arbejdsstation, så stiger risici proportionelt med brugen, og det bliver værre hvis den står i DMZ. Bruges den udelukkende som server og uden server-scripts, vil iptables formentlig være nok, eventuelt sammen med en login-block.

Iptables har flere GUI der gør det nemmere at indstille den, men iptables har den svaghed at den ikke er per-applications.

#2: Hvis du vil oprette en demilitariseret zone (DMZ), hvordan havde du så tænkt at LAN skal se ud? Bruger du eksempelvis en dedikeret web/ftp server?

Jeg har to primære formål:

1. at kunne tilgå min NAS via ftp og min Raspi via SSH udefra. Disse skal altså være permanent tilgængelige.
2. Efter behov at kunne give mine kunder mulighed for at se min lokale webserver i forbindelse med projekter jeg arbejder på.

Egentligt er portforwarding jo det rigtige, men når det ikke virker, må jeg jo finde på noget andet.

Kan selvfølgelig kontakte 3, men det plejer der ikke komme noget brugbart ud af.

Et logisk diagram kan se ud som eksempelvis:

Internet > Router > Firewall-1 > DMZ-net > Firewall-2 > Trusted LAN.

Der er flere.

Du kan se lidt på mulighederne, hvor du måske skal købe ekstra hardware.

#0:
Er iptables nok? Og hvordan blokerer man fx alt undtagen visse porte, fx 21, 22 og 80?

iptables er det kerne modul der håndtere firewalls i linux i teorien er iptables alt hvad du skal bruge i praksis er bruger de fleste en skript pakke til at sætte iptables op ie hvis du ikke ved hvad precist hvordan iptables virker skal du nok instalere et admin frontend til iptables, hvis du bare har en "server" der skal have lokal firewall vil jeg andbefale ufw hvis ikke din distro kommer med et firewall gui.

Typisk vælger man at blokere alle indadgående porte og specifikt åbne de porte men har brug for.

Med ufw gøres det med
"sudo ufw enable" for at aktivere ufw's iptable regelsæt i kernen
"sudu ufw allow /service/" for at tilføge en allow regel til ufw's iptables regelsæt. og der er mere i man ufw. ufw er et cli interface der loader og unloader en række predefinerede iptables regelsæt.

RHEL og SLES(ved ikke med fedora og opensuse bruger selv debian/ubuntu privat) kommer med et gui til server administrationer der også indeholder firewall opsætning. Der virker på samme måde ved at loade prekonfigurerede iptables regelsæt.

Pr applikation har du AppArmor og SELINUX, er dog ikke helt opdateret med hvordan de fungere i praksis.

Tak for svarene til jer alle.

Der viser sig faktisk at være Gufw præinstalleret i Mint, det må jo så være en frontend til ufw. Så som udgangspunkt vil jeg kigge her.

Men muligvis er problemet med routeren et andet sted, for jeg har opdaget at jeg heller ikke kan tilgå maskinerne indbyrdes over LAN. Fx kan min bærbare ikke se min stationære selv om IP'erne er hhv. 192.168.1.2 og 192.168.1.3, så der burde ikke være nogle problemer. Skal dog kigge lidt mere på det før jeg kan sige noget om årsagen.

DOH!

Så fik jeg tid til at kigge på firewallen, og hold da op hvor åndssvagt: Firewallen var aktiveret og spærrede derfor al indkommende trafik, både lokal og udefra. Der var altså ikke noget galt med port-forwardingen, det var sgu min pc der ikke slap noget igennem!

Så det jeg troede var en workaround (DMZ og firewall i stedet for port-forwarding) var altså ikke bare løsningen, det var årsagen. Ak ja :)

Det har dog virket før, så hvordan firewallet er blevet aktiveret, ved jeg ikke.

#7: Det har dog virket før, så hvordan firewallet er blevet aktiveret, ved jeg ikke.

Fejl 40? ;-)

Men godt du fandt ondets rod.