web server a zabezpecenie DMZ

[Zbojnik]

Zdravim,
chcel by som poprosit o radu ako co mozno najlepsie zabezpecit prienik z DMZ do lokalnej siete na MK.
Stav je takyto lokalna siet 10.205.12.0/22, DMZ 10.205.20.0/30
MK IP 10.205.15.247/22 a 10.205.20.1/30
WEB_SERVER 10.205.20.2/30 (pre DMZ rozhranie na WEB serveri nie je GW)

zatial mam spravenu len maskaradu

ip/firewall/nat

Kód: Vybrat vše

 chain=srcnat action=masquerade dst-address=10.205.20.2 out-interface=VLAN_WEB


chcel by som pridat aj nejake pravidla do FW ktore by hovorili o tom ze pokial zacne komunikacia z lokalnej siete do dmz (teda na ip 10.205.20.2) tak sa povoli aj komunikacia z DMZ (10.205.20.2) na ip ktora komunikaciu zacala.
pokial by nebola zacata komunikacia z lokalnej siete, komunikacia z DMZ(10.205.20.2) by bola zakazana...


za kazdu radu vopred dakujem..

[Zbojnik]

Pridal som do firewallu toto..

prve pravidlo povoli forward uz nadviazanych connections... teda to by malo byt pokial je komunikacia uz nadviazana ( zo siete lan)

druhe zakazuje forward vsetkych paketov v akomkolvek stave (kedze je tam 1. pravidlo tak okrem v stave established)

tretie zakazuje nadviazat komunukaciu z dmz - teda nemala by vzniknut ziadna "established connections" zo strany VLAN_WEB

Kód: Vybrat vše

chain=forward action=accept connection-state=established in-interface=VLAN_WEB

chain=input action=drop in-interface=VLAN_WEB

chain=forward action=drop in-interface=VLAN_WEB


ak ma niekto nejake lepsie riesenie pripadne napad co tam chyba budem vdacny za kazdu radu...