Iptables og DMZ zone

Det er et bra oppsett. (med 3 kort) Forward policy settes enklest til ACCEPT. (Ellers så må du sette opp filtrering i FORWARD chain.)

#!/bin/bash

# Sette til forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Laste ekstra kernel modul for ftp (ikke helt sikker på denne)
modprobe ip_conntrack_ftp

# Flushe chains
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# Sette policies
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT

# Forutsetter eth0 mot internet

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 21 -j DNAT --to-destination <ftp servers ip>

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 80 -j DNAT --to-destination <web servers ip>


Forsøk med web server først. Den er enklest å få til å fungere.
Grunnen til at jeg mener det kan la seg gjøre å la forwarding stå åpen er at de innvendige adressene er non routable via internet. Noen som er uenige i denne vurderingen ?? (I så fall interesert i kommentarer !!)

Forresten .. det vil vel kjøre for web server men ikke for ftp.

Active / passive ftp, funksjonalitet:

Active mode FTP:

1. Klient: Sender request til port 21 hos på server.
2. Server: Sender svar fra port 21 på server til port høyere enn 1024 hos klient.
3. Server: Sender nytt svar fra port 20 til port h e 1024 hos Klient.
4. Klient: Sender svar til port 20 på server.

Passive mode ftp:
1. Klient: Sender request til port 21 på server.
2. Server: Sender svar til port høyere enn 1024 hos klient.
3. Klient: Sender ny request til port høyere enn 1024 hos server.
4. Server: Sender svar tilbake til port høyere enn 1024 hos klient.

Hvis man for eksempel kjører ftp server og web server så kan man jo forwarde alle porter til bakenforliggende server. Dette vil jo i så fall skape et sikkerhetsproblem på server. Kan enten løses via FORWARD chain på firewall eller via input chain på server. Man må se litt på helheten her. Lurt å kjøre portscan vha nmap fra utsiden til sist.

Det blir vel da bare 1 PREROUTING setning og denne blir:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> -j DNAT --to-destination <web servers ip>

Testkjører du og legger beskjed !!??

Active mode ftp skulle jo ellers kunne kjøre hvis man setter opp prerouting for port 20 og port 21, men ikke passive mode, vil jeg tro.

"3. Klient: Sender ny request til port høyere enn 1024 hos server."

Det blir vel sånn sett en "smakssak" om man går for den ene løsning eller den annen.

Hej Langbein.
Jeg har fået ftp til at virke når man bruger et ftp program. Det vil ikke virke når man kører via browseren eller via dosprompt.
Jeg får en fejl om at det er en invalid port command, men dete kikker jeg på senere.

Hvad angår web, så har jeg ikke fået det til at køre endnu

Ja passive mode, dvs ftp via browser skulle gi problemer. Du må vel ellers passe på å krysse av for "ftp passive mode" i browser oppsettet. Active mode, dvs via ftp program skulle kunne kjøre men ..
Behøver du ikke å preroute port 20 .. kanskje ikke på grunn av at denne datautvekslingen er initiert fra server.

Post 80 web server pleier å være den enkleste å få til å kjøre slik. Ganske rart at denne skulle gi problemer .. ??!

Jeg har fået Web til at virke ude fra. Fra LAN har jeg ikke fået det til at virke, så det må jeg kikke på i morgen.

Hvad angår ftp så prerouter jeg både port 20 og 21

Men du får mange tak for hjælpen, jeg håber at resten af problemerne bliver løst i morgen.

Takker :)