Jak nastavit iptables pro DMZ

[Pavel Lisy]

On Pá, 2003-01-03 at 12:32, Michal Kubecek wrote:
> On Fri, Jan 03, 2003 at 12:22:06PM +0100, Pavel Lisy wrote:
> 
> > Problem se ukazal, kdyz jsem zkusil ping (nebo ssh) z DMZ (eth0) do
> > interni site (eth1), coz nechci, aby slo. Zil jsem v blahove predstave
> > ze to resi NAT/masquarade, coz je asi bez problemu z externi site,
> > protoze by pakety do experimentalni site nemely korektne nastavenym
> > routovanim projit (opravte me, jak to lze udelat, pokud to jde).
> 
> Naopak, pokud je explicitně nezakážete, pak projdou. Předpokládám, že
> stroje v DMZ mají fw/gw jako default gateway, takže všechno, co není
> do jejich segmentu, pošlou tam. A fw/gw to jednoduše přepošle do
> interní sítě, protože má tak nastavené routovací tabulky.
> 
> > kdyz nastavim napr.:
> > /sbin/iptables -I INPUT -i eth0 -d 192.168.200.0/24 -j DROP
> 
> Takhle jste to určitě nenastavoval, protože tento příkaz je syntakticky
> špatně (chybí číslo pozice, kam to chcete vložit). Podstatnější důvod,
> proč je to špatně, je ten, že pakety z DMZ do vnitřní sítě se nekontrolují
> proti INPUT, ale proti FORWARD - jsou to průchozí pakety. Konečně
To s forwardem me zase prekvapilo a uz jsem na to vickrat narazil :-)))

> z praktických důvodů je vhodnější místo IP adresy testovat rozhraní. Tedy
> 
>   iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>   iptables -A FORWARD -i eth0 -o eth1 -j DROP
To bylo ono, moc diky!

Pavel