Configuration de DMZ sur LRT214

4

Je veux en savoir plus sur la technologie de réseau. Par conséquent, je veux exécuter un pi framboise dans la zone démilitarisée en tant que serveur Web.

Qu'est-ce qui fonctionne: Appache Server sur le pi fonctionne. Lorsque je l'utilise dans le réseau local et que j'autorise le Linksys à transférer les ports locaux 192.168.1.xxx (IP statique), je peux y accéder depuis l'extérieur.

Mon problème: je n’ai pas trouvé la bonne configuration quand elle est branchée sur le port DMZ.

Configuration de LRT214: (obtenu du FAI en fonctionnement) 

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Réglage je ne comprends pas (sur LRT214):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Que veut-on dire par là? Est-ce l'adresse IP que j'utiliserai comme adresse IP statique dans la framboise?

* Paramètres pour lesquels j'ai besoin d'aide: Raspberry /etc/network/interfaces"

Je suppose que je dois écrire ici quelque chose de significatif sous la forme de:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

Quoi qu'il en soit, mes tentatives avec 192.168.1.xxx et 12.34.56.xx ont échoué.

Je suis conscient que ma prochaine étape est de configurer iptablescorrectement la framboise. Mon plan est de tout bloquer sauf http:et ssh:ici.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Merci pour votre aide sur la configuration correcte.

Éditer En écrivant ceci, je me demande si la framboise de la zone démilitarisée aurait besoin d’une adresse IP WAN statique distincte. Autre que 12.34.56.01. Comment le routeur devrait-il savoir quel trafic doit être acheminé vers le framboisier et lequel doit être acheminé vers le réseau local? Tout paramètre important que j'ai manqué.

router iptables dmz BerndGit
la source
1
Vous devez attribuer à votre RPi une adresse IP statique située juste en dehors de la portée de votre routeur DHCP (par exemple, si votre routeur émet 192.168.1.2-100, donnez alors votre RPi 192.168.1.101). Vous mettez ensuite le 192.168.0.101 dans votre page DMZ ...
Kinnectus
Et comment le routeur sait-il quel trafic doit appartenir à la zone démilitarisée? Ou est-ce que tout trafic à destination des ports qui ne sont pas transférés au réseau local est automatiquement envoyé à la framboise?
BerndGit
Il existe de nombreux articles sur la création d'un serveur Web public sur Raspberry Pi. Par exemple: exemple1 ou exemple2 .
harrymc
Oui, j'ai suivi quelques exemples. Et j'ai pu mettre en place un serveur web en utilisant prot forwarding. Quoi qu'il en soit, quand j'ai voulu déplacer le pi dans la DMZ, j'ai échoué. J'ai probablement eu un bug dans /etc/network/interfaces. Surtout chez netmaskje ne sais pas quoi prendre. (255.255.255.255? Aucun autre appareil n'étant connecté à la DMZ?)
BerndGit

Réponses:

1

Trois commentaires:

  1. Votre configuration actuelle rend votre PI identique à n’importe quel autre ordinateur de votre réseau local, c’est-à - dire qu’il ne se trouve pas dans une DMZ. Être dans une zone démilitarisée signifie que les ports d’Internet sont correctement configurés et isolés du reste de votre réseau local. Ainsi, si un intrus accède à votre serveur Pi, il ne peut toujours pas accéder au reste de vos ordinateurs. Cela nécessite une construction spéciale appelée VLAN qui le sépare du reste de votre réseau local: la bonne nouvelle est que votre LRT214 le fait automatiquement pour vous si vous spécifiez l'adresse IP du Pi dans le masque DMZ, comme indiqué à la page 16 du LRT214. Manuel de l'utilisateur .

  2. La strophe dans le /etc/network/interfacesdevrait être:

    auto eth0
iface eth0 inet static
    address 192.168.73.94
    netmask 255.255.255.0
    gateway 192.168.73.1
    dns-nameservers 192.168.73.1 
    dns-nameservers 8.8.8.8

    N'oubliez pas de l'adapter à votre cas.

  3. Il vous manque la iptablesrègle primordiale suivante :

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Il ordonne au netfilterpare - feu d'autoriser les paquets (sur les ports également différents de 80 et 22) relatifs à des connexions déjà en cours. Les connexions en cours sont toutes deux commencées par une personne se connectant à vos ports 80 et 22, mais également par les connexions que vous avez établies: si vous ratez cette règle, vos demandes, y compris les mises à jour, le chargement de pages Web, la connexion, ne seront pas suivies. aux machines locales et distantes, et ainsi de suite.

MariusMatutiae
la source
Merci pour cette longue réponse MariusMatutiae. ad (1) compris. Placer le PI dans le réseau local n’était qu’un premier test pour vérifier si l’on pouvait généralement accéder au pi. (2) Je suppose que dans le LRT214, je dois spécifier l'hôte DMZ comme étant 192.168.73.94, correct? ad (3) Merci pour cela. Je vérifierai les paramètres dans les prochains jours et je reviendrai s'il reste des questions. Vous avez gagné la prime, pour votre réponse, avec mes questions.
BerndGit
@ BerndGit (2) C'est correct!
MariusMatutiae