Configuración de DMZ en LRT214

4

Quiero aprender más sobre la tecnología de red. Por lo tanto, quiero ejecutar un raspberry pi en la DMZ como servidor web.

Lo que funciona: el servidor Appache en el pi funciona. Cuando lo uso en la LAN y permito que el Linksys reenvíe los puertos locales 192.168.1.xxx (IP estática), puedo acceder desde el exterior.

Mi problema: no pude encontrar la configuración correcta, cuando está enchufado en el puerto DMZ.

Configuración de LRT214: (Obtenido de ISP, trabajando) 

Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01   (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway:  12.34.56.02  (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Configuración que no entiendo (en LRT214):

DMZ Private IP Addres:   xxx.xxx.xxx.xx

Qué quieres decir con esto. ¿Es esta la IP, que usaré como IP estática en la frambuesa?

* Configuración donde necesito ayuda: Raspberry /etc/network/interfaces"

Supongo que tengo que escribir aquí algo significativo en forma de:

iface eth0 inet static
    address xxx.xxx.xxx.xxx
    netmask xxx.xxx.xxx.xxx 
    gateway xxx.xxx.xxx.xxx

De todos modos, mis intentos con 192.168.1.xxx y 12.34.56.xx fallaron.

Soy consciente de que mi próximo paso es configurar iptablescorrectamente la frambuesa. Mi plan es bloquear todo, excepto http:y ssh:aquí.

iptables -P INPUT ACCEPT    # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP   # now drop the rest

Gracias por su ayuda en la configuración correcta.

Editar Mientras escribo esto, me pregunto si la frambuesa en la DMZ necesitaría una IP WAN estática separada. Aparte de 12.34.56.01. Porque, ¿cómo debe saber el enrutador qué tráfico debe enrutarse a la frambuesa y cuál debe enrutarse a la LAN? Cualquier configuración importante que me haya perdido.

router iptables dmz BerndGit
fuente
1
Debería darle a su RPi una IP estática justo fuera de su alcance DHCP en su enrutador (por ejemplo, si su enrutador entrega 192.168.1.2-100, entonces entregue su RPi 192.168.1.101). Luego pones el 192.168.0.101 en tu página DMZ ...
Kinnectus
¿Y cómo sabe el enrutador qué tráfico debe pertenecer a la DMZ? ¿O el tráfico a los puertos que no se reenvía a la LAN se envía automáticamente a la frambuesa?
BerndGit
Hay bastantes artículos sobre cómo crear un servidor web público en Raspberry Pi. Por ejemplo: ejemplo1 o ejemplo2 .
harrymc
Sí, seguí algunos ejemplos. Y pude configurar un servidor web usando el reenvío de prot. De todos modos, cuando quería mover el pi en la DMZ, fallé. Lo más probable es que tuviera un error /etc/network/interfaces. Especialmente en netmaskno estoy seguro de qué llevar. (255.255.255.255? Ya que no hay otros dispositivos conectados a la DMZ?)
BerndGit

Respuestas:

1

Tres comentarios:

  1. Su configuración actual hace que su PI sea idéntica a cualquier otra PC dentro de su LAN, es decir , no está en una DMZ. Estar en una DMZ significa que los puertos de Internet están configurados correctamente y que está aislado del resto de su LAN, de modo que si un intruso obtiene acceso a su servidor Pi, aún no puede acceder al resto de sus PC. Esto requiere una construcción especial llamada VLAN que la separa del resto de su LAN: la buena noticia es que su LRT214 lo hace automáticamente por usted si especifica la dirección IP de Pi dentro de la máscara DMZ, como se especifica en la página 16 de la LRT214 Manual del usuario .

  2. La estrofa en el /etc/network/interfacesdebe ser:

    auto eth0
iface eth0 inet static
    address 192.168.73.94
    netmask 255.255.255.0
    gateway 192.168.73.1
    dns-nameservers 192.168.73.1 
    dns-nameservers 8.8.8.8

    Recuerde adaptar esto a su caso.

  3. Le falta la siguiente iptablesregla, muy importante :

    iptables -A INPUT   -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Le indica al netfilterfirewall que permita paquetes (en puertos también diferentes a 80 y 22) que pertenecen a conexiones que ya están en curso. Las conexiones en curso son iniciadas por alguien que se conecta a sus puertos 80 y 22, pero también las conexiones que inició: si omite esta regla, no habrá seguimiento de sus propias consultas, incluidas actualizaciones, carga de páginas web, conexión a máquinas locales y remotas, y así sucesivamente.

MariusMatutiae
fuente
Gracias por esa larga respuesta MariusMatutiae. anuncio (1) Entendido. Colocar el PI en la LAN fue solo una primera prueba para verificar si generalmente se puede acceder al pi. (2) Supongo que en el LRT214, tengo que especificar DMZ Host como 192.168.73.94, ¿Correcto? anuncio (3) Gracias por eso. Revisaré la configuración en los próximos días y volveré si quedan algunas preguntas. Has ganado la recompensa, por tu respuesta, con mis preguntas.
BerndGit
@BerndGit (2) ¡ Eso es correcto!
MariusMatutiae