Linux HOWTO


От DMZ к Good (внутренняя сеть).


Внутренние ограничения:

  • Позволить WWW, ftp, traceroute, ssh к внешней сети
  • Позволить SMTP к почтовому серверу
  • Позволить POP-3 к почтовому серверу
  • Позволить DNS к серверу имен
  • Позволить rsync к веб серверу
  • Позволить WWW к веб серверу
  • Позволить ping к машине пакетной фильтрации
  • Многие люди позволяют доступ ко всем сервисам из внутренней сети ко внешней сети, и затем добавляют ограничения. Мы -- бессовестные тираны.
  • Регистрационные нарушения.
  • Пассивный FTP, обработанный модулем masq.
  • Если бы мы были замаскарадены от внутренней сети к DMZ, то просто отказывались бы от всех пакетов, приходящих другим путем. Сейчас позволяем только пакеты, которые могли бы быть часть установленного соединения.

ipchains -A dmz-good -p tcp ! -y -s 192.84.219.128 smtp -j ACCEPT ipchains -A dmz-good -p udp -s 192.84.219.129 domain -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.219.129 domain -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 www -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 rsync -j ACCEPT ipchains -A dmz-good -p icmp -j icmp-acc ipchains -A dmz-bad -j DENY -l




Начало  Назад  Вперед