URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1476
[ Назад ]

Исходное сообщение
"* вопрос не для слабонервных "

Отправлено eugene33 , 09-Июл-04 16:41 
Условия
1. есть диапазон выделенный провайдером с маской .248
2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и 3й незадействован
3. есть веб сервер под вин 2003, которому очень надо смотреть наружу своей внешней карточкой.
Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся через внешний интерфейс, на нем должно быть видно с каких внешних адресов к нему стучатся. спасибо за советы)


Содержание

Сообщения в этом обсуждении
"* вопрос не для слабонервных "
Отправлено lamerusha , 09-Июл-04 16:48 
хм ... хотел было сказать - перебрасывай трифик средствами nat
, но наверное скажу вот так :

бери у прова еще одну сетку - вешай ее на 3-ий ифейс и рули своей DMZ как бог на душу положит....


"* вопрос не для слабонервных "
Отправлено Xela , 09-Июл-04 17:24 
> бери у прова еще одну сетку - вешай ее на 3-ий
>ифейс и рули своей DMZ как бог на душу положит....

А зачем еще то одну? И .248(/29) прекрасно бъется на две по .252(/30)


"* вопрос не для слабонервных "
Отправлено eugene33 , 09-Июл-04 17:31 
>> бери у прова еще одну сетку - вешай ее на 3-ий
>>ифейс и рули своей DMZ как бог на душу положит....
>
>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>.252(/30)


а можно подробнее об этом, я тоже пришел к этому, но пока не ясно, как это все будет работать, в принципе для меня реально разбить 248 на 2 с маской 252  (в первой 2 ип, один из которых шлюз прова, второй мой шлюз, во второй 2 ип, один из которых адрес 3-го ифейса шлюза а второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к 3-му интерфейсу шлюза.


"* вопрос не для слабонервных "
Отправлено Xela , 09-Июл-04 17:41 
>>> бери у прова еще одну сетку - вешай ее на 3-ий
>>>ифейс и рули своей DMZ как бог на душу положит....
>>
>>А зачем еще то одну? И .248(/29) прекрасно бъется на две по
>>.252(/30)
>
>
>а можно подробнее об этом, я тоже пришел к этому, но пока
>не ясно, как это все будет работать, в принципе для меня
>реально разбить 248 на 2 с маской 252  (в первой
>2 ип, один из которых шлюз прова, второй мой шлюз, во
>второй 2 ип, один из которых адрес 3-го ифейса шлюза а
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.


Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.


"* вопрос не для слабонервных "
Отправлено eugene33 , 09-Июл-04 17:46 
в том то и дело что не получилось без использования iptables пока так сделать, не видно снаружи веб сервака.
вот и спрашиваю подробнее


"* вопрос не для слабонервных "
Отправлено lamerusha , 09-Июл-04 17:48 
> Как-как. Обычно как. На стороне роутера провадера будет прописан роутинг на всю .248 сетку в вашу сторону. А вы-то у себя можете дальше рулить как Бог на душу положит.

хм... не скажу с точки зрения RFC, НО IMHO, без записей в таблице маршрутизации у прова не обойтись -> бить сетку никакого практического смысла не имеет.
   И потом лишние IP не помешают.

Короче я не знаю как в Линухе ЭТО будет выгдледить в деталях , но грубо говоря тебе придется
1) ПОДНЯТЬ МОСТ
2) в нат отправлять ТОЛЬКО серую сетку
3) фаерволом разрешить только www & dns
4) остальное по желанию....


"* вопрос не для слабонервных "
Отправлено lamerusha , 09-Июл-04 17:50 
>второй-веб-сервак), но как маршрутизатор прова увидит веб-сервак который будет подключен к
>3-му интерфейсу шлюза.

и не увидит сервок прова будет адресовать .248  



"ну а как мост нарулить без особого гемора?"
Отправлено eugene33 , 09-Июл-04 18:49 
ну а как мост нарулить без особого гемора?


"ну а как мост нарулить без особого гемора?"
Отправлено Slider , 09-Июл-04 18:56 
Ну а зачем мост-то?
1. Чем не подходит редирект натом?
2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное настройки чтоб правильные были.


"ну а как мост нарулить без особого гемора?"
Отправлено eugene33 , 09-Июл-04 19:12 
>Ну а зачем мост-то?
>1. Чем не подходит редирект натом?
>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>настройки чтоб правильные были.


как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на другой, непонятно как это применить.

если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то это не подходит, нужен реальный ип на веб-серваке


"ну а как мост нарулить без особого гемора?"
Отправлено lamerusha , 09-Июл-04 19:36 
короче , склифасовский - те нужно просто включить маршрутизацию (где какую галочку нажать в linux  я те не скажу...) и усе - мост готов...;)))

нат те не подойдет по причине замены ip ... ты будешь "как бы" получать запросы от своего сервака....

есть еще така прога redir (може она токма под FreeBSD) вот она ip не меняет ... но у тя linux - ты сам себе выбрал сей гемор.... ;)


"ну а как мост нарулить без особого гемора?"
Отправлено Slider , 09-Июл-04 20:00 
>>Ну а зачем мост-то?
>>1. Чем не подходит редирект натом?
>>2. Один реальный IP вешается на третий интерфэйс алиасом, один на веб
>>сервак. Незачем мост делать. и Сетку бить тоже не надо. Главное
>>настройки чтоб правильные были.
>
>
>как я понимаю редирект (iptables -j REDIRECT) позволяет перекинутьс одного порта на
>другой, непонятно как это применить.
>
>если вы имеете ввиду просто прокинуть 80 порт с помощью ната, то
>это не подходит, нужен реальный ип на веб-серваке

я не знаю как это выглядит в iptables, могу сказать как в ipnat на фрях:

rdr "IP шлюза" port 80 -> "IP web server" port 80

В данном случае поля тех пакетоы, в которых destanation IP и destanation port совпадают с левой частью будут перезаписаны на правую часть. всё остальное не трогается. Другими словами web сервер будет получать нормальные пакеты, так как будто он стоит снаружи.



"* вопрос не для слабонервных "
Отправлено Сергей , 09-Июл-04 20:02 
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Все кричат, кричат.
Все можно сделать вообще не просто, а очень просто.
Средствами Апача.
В конфиге апача указываем

# VirtualHost www.типасервер.com
#
<VirtualHost IPАДРЕС>
    ServerAdmin адмиy@типаcервер.com
    ServerName www.типасервер.com
    ServerAlias *типасервер.com
ProxyPass / http://192.168.1.1??/ # Тута твой внутренний адрес (или в мозамбике)
ProxyPassReverse / http://192.168.1.1??/ # Он же
    ErrorLog /???/типасервер-error_log
    CustomLog /???/типасервер-access_log common

</VirtualHost>
Можете высказывать свои замечания. Вся секюрити на стороне линухового
сервера.
Делается за 30 секунд методом копирования в http.conf

Ну а дальше рестарт. и тихо радуемся.
Для желающих читать маны про апач.
Всеобщий привет!


"* вопрос не для слабонервных "
Отправлено Xela , 10-Июл-04 13:44 
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>

Да не страдайте вы все фигней! Мост, херост...

ifconfig eth0 x.x.x.2 netmask 255.255.255.252
ifconfig eth1 192.168.1.x netmask 255.255.255.0
ifconfig eth3 x.x.x.5 netmask 255.255.255.252

далее, веб-сервер кросовером воткнут в eth3 и имеет
ifconfig eth0 x.x.x.6 netmask 255.255.255.252

со стороны провайдер имеем
route add x.x.x.0 mask 255.255.255.248 x.x.x.1

ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.


"* вопрос не для слабонервных "
Отправлено eugene33 , 12-Июл-04 12:48 
>
>Да не страдайте вы все фигней! Мост, херост...
>
>ifconfig eth0 x.x.x.2 netmask 255.255.255.252
>ifconfig eth1 192.168.1.x netmask 255.255.255.0
>ifconfig eth3 x.x.x.5 netmask 255.255.255.252
>
>далее, веб-сервер кросовером воткнут в eth3 и имеет
>ifconfig eth0 x.x.x.6 netmask 255.255.255.252
>
>со стороны провайдер имеем
>route add x.x.x.0 mask 255.255.255.248 x.x.x.1
>
>ВСЕ!!!!! Больше ничего не надо. ну, кроме echo 1 > /proc/net/ip_forward на линукс-роутере у вас. и НАТ-а для серой сети.


да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на x.x.x.6, авот если ему прописать
route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок, но это пока невозможно


"* вопрос не для слабонервных "
Отправлено Xela , 12-Июл-04 13:00 
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможно

ПОКАЖИТЕ МНЕ ЭТОГО ПРОВА!!!! У него там студенты что-ли работают???

Так быть не должно. ваш пров должен весь выделеный вам диапазон роутить на вас или на интерфейс в вашу сторону.



"* вопрос не для слабонервных "
Отправлено boykov , 13-Июл-04 20:38 
>да не работает так, маршрутизатор прова будет пытаться сразу положить пакеты на
>x.x.x.6, авот если ему прописать
>route add x.x.x.0 mask 255.255.255.252 x.x.x.2 , тогда имхо все будет ок,
>но это пока невозможно

Ну как так не работает? значит не полностью следовали инструкции. Все исключительно правильно. А коль не работает -- ifconfig ваш в студию. И, желательно, прововский route -n (sh routes) покажите. И ваш iptables -Ln


"* вопрос не для слабонервных "
Отправлено Xela , 14-Июл-04 00:37 
>Ну как так не работает? значит не полностью следовали инструкции. Все исключительно
>правильно. А коль не работает -- ifconfig ваш в студию. И,
>желательно, прововский route -n (sh routes) покажите. И ваш iptables -Ln

Ну, наконец-то хоть один вменяемый человек появился!



"* вопрос не для слабонервных "
Отправлено ZXVF , 12-Июл-04 18:08 
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>


rinetd


"* вопрос не для слабонервных "
Отправлено lamerusha , 14-Июл-04 10:28 
>Ну, наконец-то хоть один вменяемый человек появился!

хм.   в обучение IT важно получить правильное направление,ведь важен личный опыт, а не работа с "буфером обмена" ;)))

IMHO тебе было дано ... и не одно ... любое из предлженных решений СПОСОБНО решить твою задачу ...
+Еще можно добавит squid http_accl

А ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((



"* вопрос не для слабонервных "
Отправлено Xela , 14-Июл-04 10:32 
>А ТЫ ЗАСРАНЕЦ ДОБРА НЕ ВИДЕШЬ! ;(((

Простите, это мне??? Если да --- то перечтите тред с начала.


"ЧТО ТО ТЫ РАЗОШЕЛСЯ!!! -))"
Отправлено eugene33 , 14-Июл-04 10:45 
КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d 63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80

НО это не подходит по причинам описанным выше, то что можно накрутить рутер провайдера это понятно и возможно я добъюсь от них этого, насчет моста  - просто связываться лень (на отдельной машмне бы попробовал но не на работающем шлюзе).

Всем спасибо. Удачи.



"ЧТО ТО ТЫ РАЗОШЕЛСЯ!!! -))"
Отправлено BlackSir , 14-Июл-04 13:49 
>КОРОЧЕ , все предложенные решения задачи кроме моста и наруления рутера провайдера
>сводятся к банальному iptables -t nat -A PREROUTING -p tcp -d
>63.118.90.84 --dport 80 -j DNAT --to 192.168.1.5:80
>
>НО это не подходит по причинам описанным выше, то что можно накрутить
>рутер провайдера это понятно и возможно я добъюсь от них этого,
>насчет моста  - просто связываться лень (на отдельной машмне бы
>попробовал но не на работающем шлюзе).
>
>Всем спасибо. Удачи.

Чем тебе не нравится способ с битием подсетки /29 на две по /30 ?
Есть правда один ньюанс (подразумеваем что тебе дается Ethernet):
т.к. у прова прописана подсетка /29, то он и будет кидать тебе все пакеты которые тебе предназначены, если сможет отрезолвить MAC-адрес(!).  А узнать MAC твоего www он не сможет, т.к. никто ему не ответит. Во FreeBSD это решается установкой sysctl net.link.ether.inet.proxyall=1. Т.е. приходит 'arp who-has' от прова, твой Linux его хватает, переправляет МАС отпавителя на свой и раскидывает по интерфейсам. www посылает 'arp reply' твоему Linux который (переправляя МАС на свой) отправляет его прову, дальше уже пров начинает посылать IP-пакеты непосредственно с целевым МАС твоего Linux который их маршрутизирует...

Короче: ищи аналог net.link.ether.inet.proxyall в линухе


"СПАСИБО!! один умный чел подсказал разумное решение"
Отправлено eugene33 , 14-Июл-04 19:17 
arp -i eth0 -Ds 63.118.90.86 eth2  
спасло гиганта мысли !!!

спасибо.


"СПАСИБО!! один умный чел подсказал разумное решение"
Отправлено lamerusha , 15-Июл-04 10:55 
>arp -i eth0 -Ds 63.118.90.86 eth2

         Как мне кажется в такой конфигурации твой провайдер будет считать broadcast за трафик... Или у тебя есть средства контроля за arp ??? подскажи ..

          Вообще решение очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера компании... без изменения топологии сети ...  
          Кто нить использует arp proxy в этих целях ??? Есть впечатления от      
работы с этой технологией ???


"СПАСИБО!! один умный чел подсказал разумное решение"
Отправлено Xela , 15-Июл-04 11:02 
>Кто нить использует arp proxy в этих целях ???

Предупреждение: нижесказаное IMHO

Я бы за использование arp-proxy руки-ноги-головы бы отрывал.



"СПАСИБО!! один умный чел подсказал разумное решение"
Отправлено lamerusha , 15-Июл-04 11:20 
>Я бы за использование arp-proxy руки-ноги-головы бы отрывал.

Расскажи причины своего недовольства ...,  как мне кажется используя данную технологию можно собрать Switch Layer III
  p.s. BSD - вот на что готов пойти человек , что бы не покупать Cisco ;)



"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено eugene33 , 15-Июл-04 15:54 
>>arp -i eth0 -Ds 63.118.90.86 eth2
>
>         Как мне кажется
>в такой конфигурации твой провайдер будет считать broadcast за трафик... Или

честно говоря мне наплевать)


>          Вообще решение
>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>компании... без изменения топологии сети ...
>          Кто нить
>использует arp proxy в этих целях ??? Есть впечатления от
>работы с этой технологией ???

в общем чтоб все работало нормально надо добавить к той строчке что я приводил pub  - кто нибудь знает что это такое?

есть один трабл - я надеялся крутить файрволл на iptables в цепочке input, но похоже пакеты приходящие на внутренний сервак не попадают в инпут, приходится крутить все на форварде - кто что посоветует или прояснит?
еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть через внешний интерфейс на адрес второй внешней карточки (если конкретно на ФВ не закрыто), похоже что этот адрес можно юзать снаружи как второй адрес внешней карточки.



"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено Andrew , 20-Июл-04 08:13 
>>>arp -i eth0 -Ds 63.118.90.86 eth2
>>
>>         Как мне кажется
>>в такой конфигурации твой провайдер будет считать broadcast за трафик... Или
>
>честно говоря мне наплевать)
>
>
>>          Вообще решение
>>очень интересное ... оно позволяет "прозрачно" прятать за FireWall внутренние сервера
>>компании... без изменения топологии сети ...
>>          Кто нить
>>использует arp proxy в этих целях ??? Есть впечатления от
>>работы с этой технологией ???
>
>в общем чтоб все работало нормально надо добавить к той строчке что
>я приводил pub  - кто нибудь знает что это такое?
>
>
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже изобрели, и оно достаточно круглое !
http://www.boutell.com/rinetd/


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено eugene33 , 21-Июл-04 11:30 
>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>изобрели, и оно достаточно круглое !
>http://www.boutell.com/rinetd/

прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний сервер (таких способов несколько в том числе и ринетд) мне надо чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый файрволл.



"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено Andrew , 22-Июл-04 08:06 
>>Здесь происходит долгое и нудное изобретение колеса ! Не парьтесь, его уже
>>изобрели, и оно достаточно круглое !
>>http://www.boutell.com/rinetd/
>
>прочти месагу 1 и 22-ю, мне не нужно пробрасывание трафика на внутренний
>сервер (таких способов несколько в том числе и ринетд) мне надо
>чтоб сервак был снаружи но чтобы перед ним стоял прозрачно линуксовый
>файрволл.
Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно. Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так, как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый файрволл" поподробнее, я всегда считал что файрвол либо есть либо его нет.


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено Xela , 22-Июл-04 09:58 
Надеюсь, не стоит Вам объяснять, что такое DMZ?

"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено eugene33 , 22-Июл-04 11:09 

>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>нет.

То же самое делает и iptables (cм строчку выше), но это не подходит так как по ряду причин у веб-сервака должен быть внешний реальный айпишник.


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено AlexK. , 22-Июл-04 13:46 
>
>>Прочёл ... Именно для этого и существует rinetd. Т. е. при коннекции
>>к шлюзу с реальным айпи адресом на 80-ый порт, шлюз перебросит
>>трафик на твой веб-сервер имеющий адрес например класса 192.168.*.* и обратно.
>>Логи конекций ведутся. Снаружи это никак не отражается, всё выглядит так,
>>как-будто веб-сервер стоит прямо на твоём шлюзе. А про "прозрачно линуксовый
>>файрволл" поподробнее, я всегда считал что файрвол либо есть либо его
>>нет.
>
>То же самое делает и iptables (cм строчку выше), но это не
>подходит так как по ряду причин у веб-сервака должен быть внешний
>реальный айпишник.
Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам не знаеш что тебе надо ...



"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено boykov , 22-Июл-04 13:58 
>Так и будет у твоего "веб-сервака" внешний реальный айпишник. Похоже ты сам
>не знаеш что тебе надо ...
нихрена подобного. в варианте rinetd он будет
listen 192.168...
а надо -- listen реальный ИП


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено lamerusha , 22-Июл-04 15:11 
надо уж закрыть эту тему ... а то Вопрос такой , что каждый старается ответить ...  ;)))


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено Alexei4 , 22-Июл-04 18:34 
>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>инпут, приходится крутить все на форварде - кто что посоветует или
>прояснит?
INPUT - это то, что приходит непосредственно на сам Фиреволл.
FORWARD - это то, что через него проходит.
>еще одно - возможна ли теоретически опасность что на шлюз можно проникнуть
>через внешний интерфейс на адрес второй внешней карточки (если конкретно на
>ФВ не закрыто), похоже что этот адрес можно юзать снаружи как
>второй адрес внешней карточки.
>
Теоретически мы бессмертны, практически - бессмертны единицы. На то и фиреволл, чтоб овцы были сыты и волки целы, а пастух целый день пил пиво. Иного назначения для фиреволла, пожалуй, не найдется.


"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено eugene33 , 22-Июл-04 19:16 
>>есть один трабл - я надеялся крутить файрволл на iptables в цепочке
>>input, но похоже пакеты приходящие на внутренний сервак не попадают в
>>инпут, приходится крутить все на форварде - кто что посоветует или
>>прояснит?
>INPUT - это то, что приходит непосредственно на сам Фиреволл.
>FORWARD - это то, что через него проходит.

да это понятно, но я ожидал что на инпуте eth2 (тот что в дмз светит своим задом) можно будет ограничивать вход на внутренний сервак - ан нет, получилось что только на форварде можно рулить



"ВРОДЕ НАСТРОИЛ  - ВЫВОДЫ и НЕМНОГО ВОПРОСОВ ОПЯТЬ))"
Отправлено Alexei4 , 22-Июл-04 19:23 
>да это понятно, но я ожидал что на инпуте eth2 (тот что
>в дмз светит своим задом) можно будет ограничивать вход на внутренний
>сервак - ан нет, получилось что только на форварде можно рулить
>
Увы. Дока неумолимо говорит об обратном.


"* вопрос не для слабонервных "
Отправлено Alexei4 , 22-Июл-04 18:30 
>Условия
>1. есть диапазон выделенный провайдером с маской .248
>2. есть шлюз (linux) с тремя интерфейсами, 1- внешний, 2- 192.168.1. и
>3й незадействован
>3. есть веб сервер под вин 2003, которому очень надо смотреть наружу
>своей внешней карточкой.
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>
Что мешает тебе сделать как-нибудь так:
Linux: ifconfig eth3 x.x.x.3 netmask 255.255.255.248

Windows: прописываешь адрес интерфейса(на сетевой карте) x.x.x.4
         маршрут по умолчанию x.x.x.3

Linux:
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -d x.x.x.3 -j DROP
iptables -A FORWARD -d 0.0.0.0/0 -s x.x.x.3 -j DROP


"* вопрос не для слабонервных "
Отправлено eugene33 , 22-Июл-04 19:14 
ну попробуй 2 интерфейса на линухе из одной подсети настроить
с маршрутизацией между ними))

для этого и разбили подсетку 29 на 2 30


"* вопрос не для слабонервных "
Отправлено Alexei4 , 22-Июл-04 19:23 
>ну попробуй 2 интерфейса на линухе из одной подсети настроить
>с маршрутизацией между ними))
>
route add -host x.x.x.4(или как там твой мастдай зовется) dev eth3(или что там у тебя на мастдай смотрит)
по-моему так.
>для этого и разбили подсетку 29 на 2 30
И поднялась рука?


"* вопрос не для слабонервных "
Отправлено eugene33 , 22-Июл-04 19:30 
подними такое на VM  - получится скажешь)



"* вопрос не для слабонервных "
Отправлено Alexei4 , 23-Июл-04 10:04 
>подними такое на VM  - получится скажешь)

Есть вариант еще проще, но это, разумеется, не так секьюрно:
ставишь хаб/свитч, куда втыкаешь
а) eth от прова
б) eth от мегароутера
в) eth от мегавебсервера
Это, конечно, если у тебя от прова Ethernet(У меня сделано по такой схеме, токо там не вебсервера)

Втыкнувши свой мегавебсервер в локалку, даешь ему реалный ип, шлюзом говоришь eth0 твоего мегароутера. Наслаждаешься.
Ну и, естественно, iptables по вкусу.

Можно еще поглядеть в сторону TCP-mapping. Что тоже достигается при помощи могучего иптаблеса.


"* вопрос не для слабонервных "
Отправлено neomag , 23-Июл-04 17:52 
>Вопрос как веб-сервак из п.3 упрятать за шлюз п.2 с целью накрутить
>файрволл(iptables) для защиты веб-сервака. Примечание: доступ снаружи к веб-серваку должен осуществлятся
>через внешний интерфейс, на нем должно быть видно с каких внешних
>адресов к нему стучатся. спасибо за советы)
>

неясно как это поможет безопасности машины под виндой, порты и в windows закрыть можно, и нахождение за *nix роутером ничем не поможет, если будут ломать, то через законно открытый 80 порт.

так что не в ту сторону роете.


"* вопрос не для слабонервных "
Отправлено eugene33 , 23-Июл-04 18:05 
>неясно как это поможет безопасности машины под виндой, порты и в windows
>закрыть можно, и нахождение за *nix роутером ничем не поможет, если
>будут ломать, то через законно открытый 80 порт.
>
>так что не в ту сторону роете.

для кого то нет разницы стоит винда с исой и смотрит наружу или линух с нормальным фв, а для кого то есть-)

кому то может ваще нравятся дыры глюки винды, а мне нет)



"* вопрос не для слабонервных "
Отправлено neomag , 28-Июл-04 12:37 
>для кого то нет разницы стоит винда с исой и смотрит наружу
>или линух с нормальным фв, а для кого то есть-)
>кому то может ваще нравятся дыры глюки винды, а мне нет)


вроде автор спросил как обезопасить хост под win2003,
т.е. вопрос смены IIS на апач/*nix не обсуждается(может там .asp крутятся-кто их переписывать будет?)

и какой бы ВЫ, eugene33, не поставили бы "фв" он ни на грам
НЕ МОПОЖЕТ защититься от атаки, ориентированной на сервис HTTP.
Повторюсь, закрывать порты умеют даже персональные файрволы под win95,
и никаких приемуществ у iptables в этом отношнении нет(ну есть конечно некие бонусы в виде --reject-with tcp-reset например)