От Good (внутренняя сеть) к DMZ (сервера)
Внутренние ограничения:
- Позволить WWW, ftp, traceroute, ssh к внешней сети
- Позволить SMTP к почтовому серверу
- Позволить POP-3 к почтовому серверу
- Позволить DNS к сереверу имен
- Позволить rsync к веб серверу
- Позволить WWW к веб серверу
- Позволить ping к машине пакетной фильтрации
Можно было бы сделать маскарадинг от внутренней сети к DMZ, но здесь мы это не делаем. Так как кто-то из внутренней сети может попробовать напакостить, мы регистрируем в журнале все отклоненные пакеты.
ipchains -A good-dmz -p tcp -d 192.84.219.128 smtp -j ACCEPT ipchains -A good-dmz -p tcp -d 192.84.219.128 pop-3 -j ACCEPT ipchains -A good-dmz -p udp -d 192.84.219.129 domain -j ACCEPT ipchains -A good-dmz -p tcp -d 192.84.219.129 domain -j ACCEPT ipchains -A good-dmz -p tcp -d 192.84.218.130 www -j ACCEPT ipchains -A good-dmz -p tcp -d 192.84.218.130 rsync -j ACCEPT ipchains -A good-dmz -p icmp -j icmp-acc ipchains -A good-dmz -j DENY -l