Автор Тема: Сервер в локальной сети  (Прочитано 1950 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн pleshner

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 15
Сервер в локальной сети
« : 15 Апрель 2015, 08:33:16 »
Привет всем!
Как мне спрятать сервер в локальной сети от "чужих"?
Есть локальная сеть 192.168.0.*
сервер 192.168.0.100 клиенты входят из сети и удаленно по RDP,
Debian(jessie) в качестве шлюза, wlan0 (192.168.0.213) - в сеть с интернетом, eth0 (192.168.0.200) - на сервер

в rc.local  прописал

# Res-pol
iptables -F
# <Inet>
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
# RDP
iptables -t nat -A PREROUTING -d wlan0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
iptables -t nat -A POSTROUTING -d 192.168.0.100 -p tcp --dport 3389 -j SNAT --to-source wlan0

не видно сервера ни из сети ни из шлюза :-\
 

Оффлайн sandaksatru

  • Терминатор
  • Местный житель
  • ***
  • Сообщений: 487
  • Ушёл в спячку
Re: Сервер в локальной сети
« Ответ #1 : 15 Апрель 2015, 10:05:19 »
Как мне спрятать сервер в локальной сети от "чужих"?
Где сидят чужие и как именно его вы хотите спрятать?
У вас два интерфейса смотрят в одну и ту же сеть, или сети разные, но в них совпадает адресация? Являетесь ли вы администратором одной из сетей? В сеть "Интернет" какое устройство роутит трафик? Если не машинка с Debian, то зачем вам два шлюза? Много вопросов и будут ещё, так что распишите лучше всё подробно.

У вас правила после #RDP все прописаны неверно. Я бы порекомендовал новичкам в настройке netfilter использовать или какие-нибудь надстройки над ним (типа Shorewall или arno-iptables-firewall), или всё таки один раз вникнуть в структуру iptables. Вот на викибукс есть хороший ман: https://ru.wikibooks.org/wiki/Iptables
Но поскольку раз уж вы спросили помощи на форуме, мы можем вам помочь с правилами, но распишите подробней что вы хотите и структуру сети.
 

Оффлайн pleshner

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 15
Re: Сервер в локальной сети
« Ответ #2 : 15 Апрель 2015, 11:28:24 »
обыкновенная локальная сеть офиса, WIFI без пароля, любой не офисный работник с ноутом, в сети видит сервер.
нужно чтоб вообще не видели его "чужие", поэтому и хочу спрятать за шлюз, + с помощь шлюза ограничить атаки с инета.
wlan0 смотрит в сеть, а eth0 в сервер.
« Последнее редактирование: 15 Апрель 2015, 11:36:23 от pleshner »
 


Оффлайн apollyon

  • Местный житель
  • ***
  • Сообщений: 117
Re: Сервер в локальной сети
« Ответ #3 : 15 Апрель 2015, 12:06:34 »
Я бы смотрел в сторону организации DMZ (можно с помощью алиасов), и разрешения доступа к серверу только "проверенным" хостам, которые бы получали адреса от dhcp, к примеру - сотрудники получают адреса в диапазоне 192.168.0.1-100 (с привязкой по маку), а гости - .101-.200, и им закрыть доступ в DMZ-сеть
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 2933
  • Linux Registered User #547151
Re: Сервер в локальной сети
« Ответ #4 : 15 Апрель 2015, 12:24:41 »
pleshner, вы не ответили на вопросы, из предоставленного вами непонятно, у вас оба интерфейса в одну сеть смотрят или в разные сети, но совпадает адресация. wlan0 это типа провайдер, что ли? а eth0 это локалка ваша, да?
apollyon, суть dmz в открытии полного доступа всем желающим. под задачи тс не подходит.

Оффлайн pleshner

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 15
Re: Сервер в локальной сети
« Ответ #5 : 15 Апрель 2015, 13:20:13 »
сейчас так:


а надо так:
на шлюзе:
 wlan0 смотрит в локалку, тут же и интернет
 eth0 в сервер


« Последнее редактирование: 15 Апрель 2015, 13:46:16 от pleshner »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1819
  • Новосибирск
  • Jabber: endru@jabber.ru
Re: Сервер в локальной сети
« Ответ #6 : 15 Апрель 2015, 13:40:19 »
я бы объединил всё в bridge, и настраивал правила iptables уже для моста.

Оффлайн sandaksatru

  • Терминатор
  • Местный житель
  • ***
  • Сообщений: 487
  • Ушёл в спячку
Re: Сервер в локальной сети
« Ответ #7 : 15 Апрель 2015, 14:30:21 »
pleshner, Для начала давайте изменим адресацию на маршруте Debian Gateway - Terminal Server. Пусть DG будет 192.168.1.1/30, а TS 192.168.1.2/30 (маска 255.255.255.252). У нас же ведь не больше 2 хостов в этой сети.
Тогда что нужно сделать, чтобы всё работало:

1) Для начала вам нужно пробросить 3389 порт на вашем роутере на DG (192.168.0.213).
2) На самом шлюзе включим сначала форвардинг пакетов. Для этого параметр net.ipv4.ip_forward в фале /etc/sysctl.conf должен быть раскомментирован (без # вначале) и активирован ( =1 ). После ребута форвардинг включится. Если был до этого включен, то идём дальше. Если нет, то, не дожиджаясь перезагрузки, включим его сейчас:
echo 1 > /proc/sys/net/ipv4/ip_forward3) Далее настроим правила фйервола:
iptables -F #очищает таблицу filter
iptables -t nat -F #очищаем таблицу nat
iptables -P INPUT DROP #закрывает шлюз от входящих пакетов
iptables -P FORWARD ACCEPT #разрешает пересылку во всех направлениях
iptables -A INPUT -i lo -j ACCEPT #разрешаем входящие пакеты с loopback интерфейса
iptables -t nat -A POSTROUTING -o wlan0 -j SNAT --to-source 192.168.0.213 #натим адрес TS для роутера и локальной сети.
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2 #пробрасываем все пакеты, обращённые на 3389 порт, на TS
Так же на этом этапе вы можете открыть дополнительные порты, если они необходимы.
4) Затем нам нужно сделать так, чтобы всё это сохранялось при перезагрузке. Для удобства, чтобы каждый раз нам не редактировать rc.local, давайте сохранять их конфигом куда-нибудь в /etc/iptables.rules, например:
iptables-save > /etc/iptables.rulesА в rc.local перед строкой exit 0 удалим всё, что вы понаписали и оставим только:
iptables-restore < /etc/iptables.rulesВ последствии редактировать правила можно будет либо прямо в конфиге, либо вручную в терминале, но не забывая обновлять конфиг командой iptables-save.

Но самое главное, если честно, смысл в таком шлюзе небольшой. У вас так же открыт будет RDP порт. Я так понимаю, TS на винде? Закрыть все порты на вход и оставить только 3389, а также настроить безопасную авторизацию, можно и без использования такого шлюза, на самом вин-сервере. Разве что полезно будет, если нужно совсем закрыть доступ к TS из локальной сети. Для этого в терминале:
iptables -A FORWARD -s 192.168.0.0/24 -j DROPИ не забудьте сохранить.
 


Теги:
 

терминальный доступ на вин сервер 2008 р2

Автор Makar723

Ответов: 10
Просмотров: 1864
Последний ответ 08 Август 2011, 20:38:00
от eof
KRDC: Сервер не найден

Автор YuriS

Ответов: 0
Просмотров: 1440
Последний ответ 15 Февраль 2013, 11:08:03
от YuriS
[Решено] Скорость загрузки на сервер по FTP и SFTP

Автор jidckii

Ответов: 1
Просмотров: 1922
Последний ответ 05 Март 2014, 23:54:10
от jidckii
Сервер впн

Автор sadam112

Ответов: 0
Просмотров: 840
Последний ответ 13 Ноябрь 2014, 17:36:44
от sadam112
[РЕШЕНО] Файловый сервер на Samba4

Автор speed_vm

Ответов: 2
Просмотров: 1286
Последний ответ 08 Сентябрь 2016, 08:33:14
от speed_vm