Конфигурация DMZ на LRT214

690
BerndGit

Я хочу узнать больше о сетевых технологиях. Поэтому я хочу запустить Raspberry Pi в DMZ в качестве веб-сервера.

Что работает: Сервер приложений на пи работает. Когда я использую его в локальной сети и позволяю Linksys переадресовывать порты локально на 192.168.1.xxx (статический IP), я могу получить к нему доступ извне.

Моя проблема: я не могу найти правильную конфигурацию, когда она подключена к порту DMZ.

Конфигурация LRT214: (Получил от провайдера, работает) 

Interface 1: WAN1 WAN Connection type: Static IP WAN IP Adress: 12.34.56.01 (Number here modified for security reason) Subnet: 255.255.255.240 Default Gateway: 12.34.56.02 (Number here modified for security reason) DNS 1: 8.8.8.8 DNS 2: 8.8.4.4

Настройка, которую я не понимаю (на LRT214):

DMZ Private IP Addres: xxx.xxx.xxx.xx

Что подразумевается под этим. Это тот IP, который я буду использовать в качестве статического IP в малине?

* Настройки, где мне нужна помощь: Raspberry /etc/network/interfaces"

Я предполагаю, что я должен написать здесь что-то значимое в виде:

iface eth0 inet static address xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx  gateway xxx.xxx.xxx.xxx

Во всяком случае, мои попытки с 192.168.1.xxx и 12.34.56.xx не увенчались успехом.

Я знаю, что мой следующий шаг - iptablesправильно настроить малину. Мой план состоит в том, чтобы заблокировать все, кроме http:и ssh:здесь.

iptables -P INPUT ACCEPT # only required, so that I don't lock myself out during SSH session iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -P INPUT DROP # now drop the rest

Спасибо за вашу помощь в правильной настройке.

Редактировать Во время написания этого я задаюсь вопросом, если малина в DMZ будет нужен отдельный статический WAN IP. Кроме 12.34.56.01. Потому что как маршрутизатор должен знать, какой трафик должен быть направлен на малину, а какой - на локальную сеть? Любые важные настройки, которые я пропустил.

4
Вы должны дать вашему RPi статический IP-адрес за пределами вашей области DHCP на вашем маршрутизаторе (например, если ваш маршрутизатор выдает 192.168.1.2-100, тогда укажите свой RPi 192.168.1.101). Затем вы помещаете 192.168.0.101 в свою страницу DMZ ... Kinnectus 8 лет назад 1
И как маршрутизатор узнает, какой трафик должен принадлежать DMZ? Или любой трафик на порты, которые не перенаправляются на локальную сеть, автоматически отправляется на малину? BerndGit 8 лет назад 0
Есть немало статей о том, как создать публичный веб-сервер на Raspberry Pi. Например: [example1] (http://alexdberg.blogspot.fr/2012/11/creating-public-web-server-on-raspberry.html) или [example2] (http://simonthepiman.com/how_to_setup_your_pi_for_the_internet. PHP). harrymc 8 лет назад 0
Да, я следовал за некоторыми примерами. И я смог настроить веб-сервер с помощью prot forwarding. Так или иначе, когда я хотел переместить пи в DMZ, я потерпел неудачу. Скорее всего, у меня была ошибка в `/ etc / network / interfaces`. Особенно в "сетевой маске" я не уверен, что взять. (255.255.255.255? Так как другие устройства не подключены к DMZ?) BerndGit 8 лет назад 0

1 ответ на вопрос

2
MariusMatutiae

Three comments:

  1. Your current configuration makes your PI identical to any other pc within your LAN, i.e. it is not in a DMZ. Being in a DMZ means both that ports from the Internet are correctly configured, and that it is isolated from the rest of your LAN so that if an intruder gains access to your Pi server, then he still cannot access the rest of your pcs. This requires a special construct called a VLAN which separates it from the rest of your LAN: the good news is that your LRT214 does this automatically for you if you specify the Pi's IP address within the DMZ mask, as specified at page 16 of the LRT214's User Manual.

  2. The stanza in the /etc/network/interfaces should be:

    auto eth0 iface eth0 inet static address 192.168.73.94 netmask 255.255.255.0 gateway 192.168.73.1 dns-nameservers 192.168.73.1 dns-nameservers 8.8.8.8

    Please remember to adapt this to your case.

  3. You are missing the following, all-important iptables rule:

    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    It instructs the netfilter firewall to allow packets (on ports also different than 80 and 22) which pertain to connections which are already under way. The connections under way are both begun by someone connecting to your ports 80 and 22, but also the connections you initiated: if you miss this rule, there will be no follow-up to your own queries, including updates, loading web pages, connecting to local and remote machines, and so on.

Спасибо за этот длинный ответ MariusMatutiae. Объявление (1) Понял. Размещение PI в локальной сети было только первым тестом, чтобы проверить, можно ли вообще получить доступ к PI. (2) Я предполагаю, что в LRT214 я должен указать DMZ Host как 192.168.73.94, правильно? ad (3) Спасибо за это. Я проверю настройки в ближайшие дни и вернусь, если останутся вопросы. Вы выиграли награду за ваш ответ, отвечая на мои вопросы. BerndGit 8 лет назад 0
@BerndGit ** (2) ** Это верно! MariusMatutiae 8 лет назад 0

Похожие вопросы