Автор Тема: Сервер в локальной сети  (Прочитано 2939 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн pleshner

Сервер в локальной сети
« : 15 Апреля 2015, 08:33:16 »
Привет всем!
Как мне спрятать сервер в локальной сети от "чужих"?
Есть локальная сеть 192.168.0.*
сервер 192.168.0.100 клиенты входят из сети и удаленно по RDP,
Debian(jessie) в качестве шлюза, wlan0 (192.168.0.213) - в сеть с интернетом, eth0 (192.168.0.200) - на сервер

в rc.local  прописал

# Res-pol
iptables -F
# <Inet>
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
# RDP
iptables -t nat -A PREROUTING -d wlan0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
iptables -t nat -A POSTROUTING -d 192.168.0.100 -p tcp --dport 3389 -j SNAT --to-source wlan0

не видно сервера ни из сети ни из шлюза :-\
 

Оффлайн sandaksatru

Re: Сервер в локальной сети
« Ответ #1 : 15 Апреля 2015, 10:05:19 »
Как мне спрятать сервер в локальной сети от "чужих"?
Где сидят чужие и как именно его вы хотите спрятать?
У вас два интерфейса смотрят в одну и ту же сеть, или сети разные, но в них совпадает адресация? Являетесь ли вы администратором одной из сетей? В сеть "Интернет" какое устройство роутит трафик? Если не машинка с Debian, то зачем вам два шлюза? Много вопросов и будут ещё, так что распишите лучше всё подробно.

У вас правила после #RDP все прописаны неверно. Я бы порекомендовал новичкам в настройке netfilter использовать или какие-нибудь надстройки над ним (типа Shorewall или arno-iptables-firewall), или всё таки один раз вникнуть в структуру iptables. Вот на викибукс есть хороший ман: https://ru.wikibooks.org/wiki/Iptables
Но поскольку раз уж вы спросили помощи на форуме, мы можем вам помочь с правилами, но распишите подробней что вы хотите и структуру сети.
 

Оффлайн pleshner

Re: Сервер в локальной сети
« Ответ #2 : 15 Апреля 2015, 11:28:24 »
обыкновенная локальная сеть офиса, WIFI без пароля, любой не офисный работник с ноутом, в сети видит сервер.
нужно чтоб вообще не видели его "чужие", поэтому и хочу спрятать за шлюз, + с помощь шлюза ограничить атаки с инета.
wlan0 смотрит в сеть, а eth0 в сервер.
« Последнее редактирование: 15 Апреля 2015, 11:36:23 от pleshner »
 

Оффлайн apollyon

Re: Сервер в локальной сети
« Ответ #3 : 15 Апреля 2015, 12:06:34 »
Я бы смотрел в сторону организации DMZ (можно с помощью алиасов), и разрешения доступа к серверу только "проверенным" хостам, которые бы получали адреса от dhcp, к примеру - сотрудники получают адреса в диапазоне 192.168.0.1-100 (с привязкой по маку), а гости - .101-.200, и им закрыть доступ в DMZ-сеть
 

Оффлайн ogost

Re: Сервер в локальной сети
« Ответ #4 : 15 Апреля 2015, 12:24:41 »
pleshner, вы не ответили на вопросы, из предоставленного вами непонятно, у вас оба интерфейса в одну сеть смотрят или в разные сети, но совпадает адресация. wlan0 это типа провайдер, что ли? а eth0 это локалка ваша, да?
apollyon, суть dmz в открытии полного доступа всем желающим. под задачи тс не подходит.

Оффлайн pleshner

Re: Сервер в локальной сети
« Ответ #5 : 15 Апреля 2015, 13:20:13 »
сейчас так:


а надо так:
на шлюзе:
 wlan0 смотрит в локалку, тут же и интернет
 eth0 в сервер


« Последнее редактирование: 15 Апреля 2015, 13:46:16 от pleshner »
 

Онлайн endru

Re: Сервер в локальной сети
« Ответ #6 : 15 Апреля 2015, 13:40:19 »
я бы объединил всё в bridge, и настраивал правила iptables уже для моста.

Оффлайн sandaksatru

Re: Сервер в локальной сети
« Ответ #7 : 15 Апреля 2015, 14:30:21 »
pleshner, Для начала давайте изменим адресацию на маршруте Debian Gateway - Terminal Server. Пусть DG будет 192.168.1.1/30, а TS 192.168.1.2/30 (маска 255.255.255.252). У нас же ведь не больше 2 хостов в этой сети.
Тогда что нужно сделать, чтобы всё работало:

1) Для начала вам нужно пробросить 3389 порт на вашем роутере на DG (192.168.0.213).
2) На самом шлюзе включим сначала форвардинг пакетов. Для этого параметр net.ipv4.ip_forward в фале /etc/sysctl.conf должен быть раскомментирован (без # вначале) и активирован ( =1 ). После ребута форвардинг включится. Если был до этого включен, то идём дальше. Если нет, то, не дожиджаясь перезагрузки, включим его сейчас:
echo 1 > /proc/sys/net/ipv4/ip_forward3) Далее настроим правила фйервола:
iptables -F #очищает таблицу filter
iptables -t nat -F #очищаем таблицу nat
iptables -P INPUT DROP #закрывает шлюз от входящих пакетов
iptables -P FORWARD ACCEPT #разрешает пересылку во всех направлениях
iptables -A INPUT -i lo -j ACCEPT #разрешаем входящие пакеты с loopback интерфейса
iptables -t nat -A POSTROUTING -o wlan0 -j SNAT --to-source 192.168.0.213 #натим адрес TS для роутера и локальной сети.
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2 #пробрасываем все пакеты, обращённые на 3389 порт, на TS
Так же на этом этапе вы можете открыть дополнительные порты, если они необходимы.
4) Затем нам нужно сделать так, чтобы всё это сохранялось при перезагрузке. Для удобства, чтобы каждый раз нам не редактировать rc.local, давайте сохранять их конфигом куда-нибудь в /etc/iptables.rules, например:
iptables-save > /etc/iptables.rulesА в rc.local перед строкой exit 0 удалим всё, что вы понаписали и оставим только:
iptables-restore < /etc/iptables.rulesВ последствии редактировать правила можно будет либо прямо в конфиге, либо вручную в терминале, но не забывая обновлять конфиг командой iptables-save.

Но самое главное, если честно, смысл в таком шлюзе небольшой. У вас так же открыт будет RDP порт. Я так понимаю, TS на винде? Закрыть все порты на вход и оставить только 3389, а также настроить безопасную авторизацию, можно и без использования такого шлюза, на самом вин-сервере. Разве что полезно будет, если нужно совсем закрыть доступ к TS из локальной сети. Для этого в терминале:
iptables -A FORWARD -s 192.168.0.0/24 -j DROPИ не забудьте сохранить.
 

Теги:
     

    сервер openvpn за wifi-роутером

    Автор lilodes

    Ответов: 8
    Просмотров: 9102
    Последний ответ 21 Июля 2014, 17:33:17
    от lilodes
    Выход в интернет через прокси-сервер

    Автор suny

    Ответов: 3
    Просмотров: 520
    Последний ответ 14 Ноября 2020, 19:50:49
    от ChubaDuba
    сервер vsftpd не могу загрузить файлы по ftp

    Автор ottawa1

    Ответов: 7
    Просмотров: 3458
    Последний ответ 04 Мая 2012, 21:02:00
    от 0d1n
    Помогите настроить DNS сервер

    Автор ebolshakov

    Ответов: 1
    Просмотров: 1708
    Последний ответ 15 Марта 2013, 12:23:21
    от fry
    Socks сервер с поддержкой IPv6 + BASH

    Автор deblox

    Ответов: 0
    Просмотров: 1609
    Последний ответ 01 Апреля 2014, 14:20:00
    от deblox