DMZ з NAT

                                                                                  У всіх установках, де є NAT пул доступних адрес виділяється для DMZ, ймовірно, буде більше, ніж в нашому попередньому прикладі, але застосовуються ті ж принципи Коли ви переміщаєте сервери в фізично окрему мережу, ви повинні будете перевірити в наборі ваших правил, що макро визначення є за визначенням розсудливими і відрегулювати значення, якщо це необхідно

Як і у випадку з маршрутизуються адресами, корисно було б посилити набір ваших правил, відредагувавши дозволені правила для вхідного і вихідного

трафіку вашого сервера і дозволити передавати тільки на ті інтерфейси, які на

насправді мають відносини до сервісу:

pass in on $ext_if inet proto tcp to $ext_if port $webports rdr-to $webserver pass in on $int_if inet proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if inet proto tcp to $ext_if port $email \ rdr-to $mailserver

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Для версій раніше OpenBSD 47 є відмінності в деяких деталях, з перенаправленням в окремих правилах:

pass in on $ext_if proto tcp to $webserver port $webports

pass in on $int_if proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if proto tcp to $mailserver port smtp

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Ви можете створити конкретні дозволяють правила, які посилаються на інтерфейс вашої локальної мережі, але якщо ви залишите існуючі дозволені правила недоторканими, вони продовжуватимуть працювати

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*