Konfiguration von DMZ am LRT214

745
BerndGit

Ich möchte mehr über Netzwerktechnologie erfahren. Deshalb möchte ich ein Himbeer-Pi in der DMZ als Webserver betreiben.

Was funktioniert: Appache Server auf dem Pi funktioniert. Wenn ich es im LAN verwende und erlaube, dass Linksys die lokalen Ports 192.168.1.xxx (statische IP) weiterleitet, kann ich von außen darauf zugreifen.

Mein Problem: Ich habe die richtige Konfiguration nicht gefunden, wenn sie am DMZ-Port angeschlossen ist.

Konfiguration von LRT214: (vom ISP erhalten, funktioniert) 

Interface 1: WAN1 WAN Connection type: Static IP WAN IP Adress: 12.34.56.01 (Number here modified for security reason) Subnet: 255.255.255.240 Default Gateway: 12.34.56.02 (Number here modified for security reason) DNS 1: 8.8.8.8 DNS 2: 8.8.4.4

Einstellung, die ich nicht verstehe (bei LRT214):

DMZ Private IP Addres: xxx.xxx.xxx.xx

Was ist damit gemeint? Ist das die IP, die ich als statische IP in der Himbeere verwenden soll?

* Einstellungen, bei denen ich Hilfe brauche: Raspberry /etc/network/interfaces"

Ich gehe davon aus, dass ich hier etwas Sinnvolles schreiben muss in Form von:

iface eth0 inet static address xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx  gateway xxx.xxx.xxx.xxx

Meine Versuche mit 192.168.1.xxx und 12.34.56.xx sind trotzdem fehlgeschlagen.

Mir ist bewusst, dass mein nächster Schritt das Aufsetzen iptablesder Himbeere korrekt ist. Mein Plan ist es, alles außer http:und ssh:hier zu blockieren .

iptables -P INPUT ACCEPT # only required, so that I don't lock myself out during SSH session iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -P INPUT DROP # now drop the rest

Vielen Dank für Ihre Hilfe zum korrekten Setup.

Bearbeiten Während dieses writting ich frage mich, ob die Himbeere in der DMZ eine separate statische WAN - IP benötigen würde. Andere als 12.34.56.01. Woher soll der Router wissen, welcher Datenverkehr an die Himbeere und welcher an das LAN geleitet wird? Jede wichtige Einstellung, die ich vermisst habe.

4
Sie sollten Ihrem RPi eine statische IP-Adresse außerhalb Ihres DHCP-Bereichs Ihres Routers zuweisen (z. B. wenn Ihr Router 192.168.1.2-100 ausgibt, geben Sie dann Ihr RPi 192.168.1.101 ein). Sie legen dann die 192.168.0.101 in Ihre DMZ-Seite ein ... Kinnectus vor 8 Jahren 1
Und woher weiß der Router, welcher Verkehr zur DMZ gehören soll? Oder wird jeglicher Verkehr zu Ports, die nicht an das LAN weitergeleitet werden, automatisch an die Himbeere gesendet? BerndGit vor 8 Jahren 0
Es gibt einige Artikel zum Erstellen eines öffentlichen Webservers auf Raspberry Pi. Beispiel: [example1] (http://alexdberg.blogspot.fr/2012/11/creating-public-web-server-on-raspberry.html) oder [example2] (http://simonthepiman.com/how_to_setup_your_pi_for_the_internet. php). harrymc vor 8 Jahren 0
Ja, ich bin einigen Beispielen gefolgt. Ich konnte einen Webserver mit Prot Forwarding einrichten. Jedenfalls, wenn ich das Pi in der DMZ verschieben wollte, bin ich gescheitert. Wahrscheinlich hatte ich einen Fehler in `/ etc / network / interfaces`. Vor allem bei "Netzmaske" bin ich mir nicht sicher, was ich nehmen soll. (255.255.255.255? Da keine anderen Geräte an die DMZ angeschlossen sind?) BerndGit vor 8 Jahren 0

1 Antwort auf die Frage

2
MariusMatutiae

Drei Kommentare:

  1. Ihre aktuelle Konfiguration macht Ihren PI mit jedem anderen PC in Ihrem LAN identisch, dh er befindet sich nicht in einer DMZ. Wenn Sie sich in einer DMZ befinden, bedeutet dies, dass Ports aus dem Internet korrekt konfiguriert sind und dass sie vom Rest Ihres LAN isoliert sind. Wenn ein Eindringling Zugriff auf Ihren Pi-Server erhält, kann er trotzdem nicht auf den Rest Ihrer PCs zugreifen. Dies erfordert ein spezielles Konstrukt namens VLAN, das es vom Rest Ihres LANs trennt: Die gute Nachricht ist, dass Ihr LRT214 dies automatisch für Sie ausführt, wenn Sie die IP-Adresse des Pi in der DMZ-Maske angeben, wie auf Seite 16 des LRT214 angegeben Benutzerhandbuch .

  2. Die Strophe in der /etc/network/interfacessollte sein:

    auto eth0 iface eth0 inet static address 192.168.73.94 netmask 255.255.255.0 gateway 192.168.73.1 dns-nameservers 192.168.73.1  dns-nameservers 8.8.8.8

    Bitte denken Sie daran, dies an Ihren Fall anzupassen.

  3. Ihnen fehlt folgende, alles entscheidende iptablesRegel:

    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Sie weist die netfilterFirewall an, Pakete (an anderen Ports als 80 und 22) zuzulassen, die sich auf bereits laufende Verbindungen beziehen. Die Verbindungen im Gang sind beide durch eine Person zu Ihren Ports 80 und 22 verbinden begonnen, aber auch die Verbindungen Sie initiiert: Wenn Sie diese Regel verpassen, wird es kein Follow-up zu eigenen Abfragen, einschließlich Updates, Läden von Webseiten, Verbindungs auf lokale und entfernte Maschinen und so weiter.

Vielen Dank für diese lange Antwort Marius Matutiae. Anzeige (1) Verstanden. Das Platzieren des PI im LAN war nur ein erster Test, um zu prüfen, ob der Zugriff auf das PI generell möglich ist. (2) Ich gehe davon aus, dass ich im LRT214 den DMZ-Host als 192.168.73.94 angeben muss, richtig? Anzeige (3) Vielen Dank dafür. Ich werde die Einstellungen in den nächsten Tagen überprüfen und zurückkommen, wenn noch Fragen bestehen. Sie haben die Prämie für Ihre Antwort mit Ansprachen auf meine Fragen gewonnen. BerndGit vor 7 Jahren 0
@BerndGit ** (2) ** Das stimmt! MariusMatutiae vor 7 Jahren 0

Verwandte Probleme