От DMZ к Good (внутренняя сеть).
Внутренние ограничения:
- Позволить WWW, ftp, traceroute, ssh к внешней сети
- Позволить SMTP к почтовому серверу
- Позволить POP-3 к почтовому серверу
- Позволить DNS к серверу имен
- Позволить rsync к веб серверу
- Позволить WWW к веб серверу
- Позволить ping к машине пакетной фильтрации
- Многие люди позволяют доступ ко всем сервисам из внутренней сети ко внешней сети, и затем добавляют ограничения. Мы -- бессовестные тираны.
- Регистрационные нарушения.
- Пассивный FTP, обработанный модулем masq.
- Если бы мы были замаскарадены от внутренней сети к DMZ, то просто отказывались бы от всех пакетов, приходящих другим путем. Сейчас позволяем только пакеты, которые могли бы быть часть установленного соединения.
ipchains -A dmz-good -p tcp ! -y -s 192.84.219.128 smtp -j ACCEPT ipchains -A dmz-good -p udp -s 192.84.219.129 domain -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.219.129 domain -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 www -j ACCEPT ipchains -A dmz-good -p tcp ! -y -s 192.84.218.130 rsync -j ACCEPT ipchains -A dmz-good -p icmp -j icmp-acc ipchains -A dmz-bad -j DENY -l
