Всем привет,
Делаю первые шаги в изучении Linux.
Стоит задача настроить безопасный шлюза на Linux Ubuntu.
Сейчас на тестовом стенде установлена версия Ubuntu
12.10 14.04.1 LTS (Спасибо "fisher74").
Защиту сети хочу строить по схеме,
что не разрешено - запрещено.
Сервер выполняет роль шлюза+nat+firewall для локальной сети.
eth0 смотрит в интернет, eth1 в локальную сеть (192.168.0.0/24)
IP address for eth0: 192.168.136.129
IP address for eth1: 192.168.0.1
pc1 (192.168.0.2) - Нужно заблокировать доступ в интернет.
pc2 (192.168.0.3) - Нужно пробросить порт 3389
pc3 (192.168.0.4) - Нужно пробросить порт 3390
Настройки системы 1.Сеть# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet dhcp
# eth1 - local
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
pre-up iptables-restore < /etc/firewall.conf
2.Включен IP forwardingnet.ipv4.ip_forward = 1
3.iptables-save*filter
:INPUT DROP [608:26735]
:FORWARD DROP [0:0]
:OUTPUT DROP [261:35404]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.2/32 -i eth1 -j DROP
-A FORWARD -s 192.168.0.2/32 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [905:67641]
:INPUT ACCEPT [1:52]
:OUTPUT ACCEPT [110:25072]
:POSTROUTING ACCEPT [8:480]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
Помогите, пожалуйста, с правилами для проброса портов для pc2,pc3. И посмотрите общие правила на наличие ошибок.
Upd1. Добавлены правила перенаправления портов для pc2,pc3. Спасибо "Извращенец".
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.3:3389
iptables -I FORWARD -p tcp --dport 3389 --destination 192.168.0.3 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 3390 -j DNAT --to 192.168.0.4:3390
iptables -I FORWARD -p tcp --dport 3390 --destination 192.168.0.3 -j ACCEPT
Какие настройки системы стоит еще сделать чтобы обезопасить сервер?Спасибо!