Quiero aprender más sobre la tecnología de red. Por lo tanto, quiero ejecutar un raspberry pi en la DMZ como servidor web.
Lo que funciona: el servidor Appache en el pi funciona. Cuando lo uso en la LAN y permito que el Linksys reenvíe los puertos locales 192.168.1.xxx (IP estática), puedo acceder desde el exterior.
Mi problema: no pude encontrar la configuración correcta, cuando está enchufado en el puerto DMZ.
Configuración de LRT214: (Obtenido de ISP, trabajando)
Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01 (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway: 12.34.56.02 (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4
Configuración que no entiendo (en LRT214):
DMZ Private IP Addres: xxx.xxx.xxx.xx
Qué quieres decir con esto. ¿Es esta la IP, que usaré como IP estática en la frambuesa?
* Configuración donde necesito ayuda: Raspberry /etc/network/interfaces
"
Supongo que tengo que escribir aquí algo significativo en forma de:
iface eth0 inet static
address xxx.xxx.xxx.xxx
netmask xxx.xxx.xxx.xxx
gateway xxx.xxx.xxx.xxx
De todos modos, mis intentos con 192.168.1.xxx y 12.34.56.xx fallaron.
Soy consciente de que mi próximo paso es configurar iptables
correctamente la frambuesa. Mi plan es bloquear todo, excepto http:
y ssh:
aquí.
iptables -P INPUT ACCEPT # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP # now drop the rest
Gracias por su ayuda en la configuración correcta.
Editar Mientras escribo esto, me pregunto si la frambuesa en la DMZ necesitaría una IP WAN estática separada. Aparte de 12.34.56.01. Porque, ¿cómo debe saber el enrutador qué tráfico debe enrutarse a la frambuesa y cuál debe enrutarse a la LAN? Cualquier configuración importante que me haya perdido.
/etc/network/interfaces
. Especialmente ennetmask
no estoy seguro de qué llevar. (255.255.255.255? Ya que no hay otros dispositivos conectados a la DMZ?)Respuestas:
Tres comentarios:
Su configuración actual hace que su PI sea idéntica a cualquier otra PC dentro de su LAN, es decir , no está en una DMZ. Estar en una DMZ significa que los puertos de Internet están configurados correctamente y que está aislado del resto de su LAN, de modo que si un intruso obtiene acceso a su servidor Pi, aún no puede acceder al resto de sus PC. Esto requiere una construcción especial llamada VLAN que la separa del resto de su LAN: la buena noticia es que su LRT214 lo hace automáticamente por usted si especifica la dirección IP de Pi dentro de la máscara DMZ, como se especifica en la página 16 de la LRT214 Manual del usuario .
La estrofa en el
/etc/network/interfaces
debe ser:Recuerde adaptar esto a su caso.
Le falta la siguiente
iptables
regla, muy importante :Le indica al
netfilter
firewall que permita paquetes (en puertos también diferentes a 80 y 22) que pertenecen a conexiones que ya están en curso. Las conexiones en curso son iniciadas por alguien que se conecta a sus puertos 80 y 22, pero también las conexiones que inició: si omite esta regla, no habrá seguimiento de sus propias consultas, incluidas actualizaciones, carga de páginas web, conexión a máquinas locales y remotas, y así sucesivamente.fuente