Jak nastavit iptables pro DMZ

Michal Kubecek mike na mk-sys.cz
Pátek Leden 3 12:32:07 CET 2003


On Fri, Jan 03, 2003 at 12:22:06PM +0100, Pavel Lisy wrote:

> Problem se ukazal, kdyz jsem zkusil ping (nebo ssh) z DMZ (eth0) do
> interni site (eth1), coz nechci, aby slo. Zil jsem v blahove predstave
> ze to resi NAT/masquarade, coz je asi bez problemu z externi site,
> protoze by pakety do experimentalni site nemely korektne nastavenym
> routovanim projit (opravte me, jak to lze udelat, pokud to jde).

Naopak, pokud je explicitně nezakážete, pak projdou. Předpokládám, že
stroje v DMZ mají fw/gw jako default gateway, takže všechno, co není
do jejich segmentu, pošlou tam. A fw/gw to jednoduše přepošle do
interní sítě, protože má tak nastavené routovací tabulky.

> kdyz nastavim napr.:
> /sbin/iptables -I INPUT -i eth0 -d 192.168.200.0/24 -j DROP

Takhle jste to určitě nenastavoval, protože tento příkaz je syntakticky
špatně (chybí číslo pozice, kam to chcete vložit). Podstatnější důvod,
proč je to špatně, je ten, že pakety z DMZ do vnitřní sítě se nekontrolují
proti INPUT, ale proti FORWARD - jsou to průchozí pakety. Konečně
z praktických důvodů je vhodnější místo IP adresy testovat rozhraní. Tedy

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A FORWARD -i eth0 -o eth1 -j DROP

Samozřejmě je potřeba tato pravidla umístit na rozumné místo vzhledem
k dalším pravidlům. Ale to už závisí na konkrétní konfiguraci.

                                                         Michal Kubeček


Další informace o konferenci Linux