DMZ с NAT

                                                                                  Во всех установках, где есть NAT пул доступных адресов выделяемый для DMZ, вероятно, будет больше, чем в нашем предыдущем примере, но применяются те же принципы. Когда вы перемещаете серверы в физически  отдельную сеть, вы должны будете проверить в наборе   ваших   правил,    что        макро   определения   являются   по   определению здравомыслящими и отрегулировать значения, если это необходимо.

Как и в случае с маршрутизируемыми адресами, полезно было бы  ужесточить набор ваших  правил,  отредактировав  разрешенные  правила  для  входящего  и  исходящего

трафика вашего сервера и разрешить передавать только на те интерфейсы, которые на

самом деле имеют отношения к сервису:

pass in on $ext_if inet proto tcp to $ext_if port $webports rdr-to $webserver pass in on $int_if inet proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if inet proto tcp to $ext_if port $email \ rdr-to $mailserver

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Для версий ранее OpenBSD 4.7 есть различия в некоторых деталях, с перенаправлением в отдельных правилах:

pass in on $ext_if proto tcp to $webserver port $webports

pass in on $int_if proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if proto tcp to $mailserver port smtp

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Вы можете создать конкретные разрешающие правила, которые ссылаются на интерфейс вашей  локальной  сети,  но  если  вы  оставите  существующие   разрешенные  правила нетронутыми, они будут продолжать работать.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий