OpenWRT + Asus WL 520GU + Iptables। अलग LAN, DMZ और इंटरनेट

सभी को नमस्कार!

हाल ही में DMZ में कुछ सेवा को छिपाने की आवश्यकता थी। यह सेवा W2K3 में घूम रही है, और मैं नहीं चाहता कि विंडोज ओएस मशीन किसी भी तरह से असुरक्षित ("विंडोज" फायरवॉल सिर्फ जंगल से गुजरती हो) इंटरनेट और स्थानीय नेटवर्क को देखें।

Asus WL 520GU और DD-WRT के साथ सफल अनुभव को याद करते हुए , मैंने पीटा ट्रैक के साथ जाने का फैसला किया, लेकिन राउटर के लिए फर्मवेयर के रूप में OpenWRT को चुना।

लिगामेंट ऑपरेशन स्कीम को आंकड़े में देखा जा सकता है।



तो, चलो शब्दों से व्यापार के लिए नीचे उतरें।



DMZ शब्द की कुछ गलतफहमी टिप्पणियों में नोट की गई थी।

इस संबंध में, मैं विकिपीडिया से एक उद्धरण दूंगा। (इस तरह के उद्धरण के विरोधियों के लिए, मैं यह नोट कर सकता हूं कि यह सामग्री लगभग पूरी तरह से सिस्को पर लिखी गई पुस्तक में लिखी गई है)



DMZ (demilitarized Zone, DMZ) सूचना परिधि को सुरक्षित करने की एक तकनीक है, जिसमें बाहरी नेटवर्क के अनुरोधों का जवाब देने वाले सर्वर एक विशेष नेटवर्क सेगमेंट (जिसे DMZ कहा जाता है) में स्थित होते हैं और फ़ायरवॉल (फ़ायरवॉल) का उपयोग करते हुए मुख्य नेटवर्क एक्सेस तक सीमित होते हैं ), क्षति को कम करने के लिए, जब DMZ में स्थित सार्वजनिक सेवाओं में से किसी एक को हैक करना।

राउटर को चमकाना।

मेरे द्वारा चुने गए मॉडल के लिए, फर्मवेयर बैकफ़ायर .brcm47xx आवश्यक है

1. एक हार्डवेयर रीसेट करें, तथाकथित 30/30/30।

जब राउटर की शक्ति चालू होती है, तो रीसेट बटन दबाएं, 30 सेकंड के लिए दबाए रखें, बटन को जारी किए बिना, बिजली बंद करें और दूसरे 30 सेकंड के लिए दबाए रखें, बटन को जारी किए बिना, शक्ति चालू करें और 30 सेकंड के लिए फिर से रीसेट बटन दबाए रखें।

संकेत: राउटर का डिफ़ॉल्ट आईपी 192.168.1.1 है। यदि आप एक हार्डवेयर रीसेट 30/30/30 से पहले इसे "पिंग" करते हैं, तो ttl 64 हो जाएगा, रीसेट के बाद ttl 100 के बराबर हो जाता है।

अब निम्नलिखित कमांड का उपयोग करके राउटर को फर्मवेयर भेजें

atftp --trace --option "timeout 1" --option "mode octet" --put --local-file openwrt-brcm47xx-squashfs.trx 192.168.1.1





संदेश फ़्लिकर के अंत में, हम 5 मिनट प्रतीक्षा करते हैं और पावर राउटर को बंद / चालू करते हैं।

अगला कदम रूट पासवर्ड सेट करना और अनावश्यक सेवाओं को अक्षम करना है, इसके लिए हम राउटर के वेब इंटरफेस पर जाते हैं

192.168.1.1

मैंने luci_dhcp_migrate और dnsmasq को निष्क्रिय कर दिया (मेरे पास नेटवर्क पर डीएचसीपी और डीएनएस है)

हम इसे वेब इंटरफ़ेस के साथ समाप्त करेंगे, आगे की कॉन्फ़िगरेशन कंसोल से आगे बढ़ेगी।

Asus WL 520G में 5 पोर्ट, एक WAN पोर्ट और 4 LAN पोर्ट हैं। WAN प्रदाता, LAN1-3 को स्थानीय नेटवर्क पर देखेगा, और मैं LAN4 को एक अलग VLAN के लिए आवंटित करूंगा और DMZ को अग्रेषित करूंगा।

राउटर से कनेक्ट करें

#ssh root@192.168.0.30

root@192.168.0.30's password:



BusyBox v1.15.3 (2010-11-12 00:01:06 PST) built-in shell (ash)

Enter 'help' for a list of built-in commands.



_______ ________ __

| |.-----.-----.-----.| | | |.----.| |_

| - || _ | -__| || | | || _|| _|

|_______|| __|_____|__|__||________||__| |____|

|__| WIRELESSFREEDOM

Backfire (10.03.1-rc4, r24045) --------------------

* 1/3 shot Kahlua In a shot glass, layer Kahlua

* 1/3 shot Bailey's on the bottom, then Bailey's,

* 1/3 shot Vodka then Vodka.

---------------------------------------------------

root@OpenWrt:~#

हमें कई कॉन्फ़िगरेशन फ़ाइलों को बदलने की आवश्यकता है।

1. / आदि / विन्यास / नेटवर्क, इंटरफ़ेस सेटिंग्स इस फ़ाइल में सेट हैं।

root@OpenWrt:~# cat /etc/config/network

#### VLAN configuration

config switch eth0

option enable 1



config switch_vlan eth0_0

option device "eth0"

option vlan 0

option ports "1 2 3 5*" #default vlan, LAN1-3,

# - 5*, ,

#

#http://wiki.openwrt.org/doc/uci/network/switch



config switch_vlan eth0_1

option device "eth0"

option vlan 1

option ports "0 5" # WAN



config switch_vlan eth0_2

option device "eth0"

option vlan 2

option ports "4 5" # vlan2, DMZ



#### Loopback configuration

config interface loopback

option ifname "lo"

option proto static

option ipaddr 127.0.0.1

option netmask 255.0.0.0



#### LAN configuration

config interface lan

option type bridge

option ifname "eth0.0"

option proto static

option ipaddr 192.168.0.30

option netmask 255.255.255.0



#### DMZ configuration

config interface dmz

option ifname "eth0.2"

option proto static

option ipaddr 192.168.100.1

option netmask 255.255.255.0



#### WAN configuration

config interface wan

option ifname "eth0.1"

option proto static

option ipaddr 1.2.3.4

option netmask 255.255.255.0

option gateway 1.2.3.1







2. / etc / config / फ़ायरवॉल को छोड़कर सभी लाइनों पर टिप्पणी करें

config include

option path /etc/firewall.user





3. Iptables कॉन्फ़िगर करें, इसके लिए हम फाइल /etc/firewall.user जोड़ेंगे

#!/bin/sh



ext_if="eth0.1"

ext_ip="1.2.3.4"



int_if="br-lan"

int_ip="192.168.0.30"

LAN="192.168.0.0/24"



dmz_if="eth0.2"

dmz_ip="192.168.100.1"

dmz_server="192.168.100.2"



lo_if="lo"

lo_ip="127.0.0.1"



IPTABLES="/usr/sbin/iptables"



$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP



$IPTABLES -N bad_tcp_packets

$IPTABLES -N icmp_packets



#chain icmp_packets ( echo reply[request)

$IPTABLES -A icmp_packets -p icmp -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p icmp -s 0/0 --icmp-type 0 -j ACCEPT



#chain bad_tcp_packets ( iptables #)

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP



#chain PREROUTING ( destination address IP)

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip -m multiport --dport 8001,31187,20113,20118 -j \

DNAT --to-destination $dmz_server

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip -m multiport --dport 80 -j DNAT \

--to-destination $dmz_server:8001

$IPTABLES -t nat -A PREROUTING -p udp -d $ext_ip -m multiport --dport 20113,20118 -j \

DNAT --to-destination $dmz_server

$IPTABLES -t nat -A PREROUTING -p icmp -d $ext_ip -j DNAT --to-destination $dmz_server



#FORWARD

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -p tcp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -m multiport --dport 80,8001,31187,20113,20118 -j \ ACCEPT

$IPTABLES -A FORWARD -p udp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -m multiport --dport 20113,20118 -j ACCEPT

$IPTABLES -A FORWARD -p tcp -i $int_if -o $dmz_if -s $LAN -d $dmz_server -m multiport --dport 31187,3389 -j ACCEPT

$IPTABLES -A FORWARD -p icmp -i $int_if -o $dmz_if -s $LAN -d $dmz_server -j icmp_packets

$IPTABLES -A FORWARD -p icmp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -j icmp_packets

$IPTABLES -A FORWARD -p ALL -i $dmz_if -o $int_if -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -p ALL -i $dmz_if -o $ext_if -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -p icmp -i $dmz_if -o $ext_if -j icmp_packets



#INPUT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p icmp -j icmp_packets

$IPTABLES -A INPUT -p tcp -i $int_if -s $LAN -m multiport --dport 22,80 -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $dmz_if -s $dmz_server -j ACCEPT



#OUTPUT

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p icmp -o $ext_if -d 0/0 -j icmp_packets

$IPTABLES -A OUTPUT -p ALL -s $lo_ip -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $int_ip -d $LAN -j ACCEPT

$IPTABLES -A OUTPUT -p icmp -o $dmz_if -d $dmz_server -j icmp_packets



#POSTROUTING

$IPTABLES -t nat -A POSTROUTING -o $ext_if -j SNAT --to-source $ext_ip







हम राउटर को रिबूट करते हैं और सेटिंग्स के संचालन की जांच करते हैं।

root@OpenWrt:~# reboot







मैं सिम समाप्त कर दूंगा, कार्य पूरे हो जाएंगे, ट्रैफिक मेरी आवश्यकता के अनुसार चलता है।

निष्कर्ष में, यह ध्यान देने योग्य है कि यह समाधान बहुत बजटीय है और बड़ी मात्रा में यातायात के साथ शायद ही माना जा सकता है।

जब iperf के साथ परीक्षण, निम्नलिखित परिणाम प्राप्त किए गए:

iperf सर्वर dmz में चल रहा है, क्लाइंट में LAN = ~ 36Mb / s

iperf सर्वर dmz में चल रहा है, इंटरनेट पर ग्राहक = ~ 26Mb / s

यह मेरे लिए काफी पर्याप्त है, प्रदाता हमें 4Mb / s देता है, और स्थानीय नेटवर्क से DMZ तक ट्रैफ़िक बहुत बड़ा नहीं है।



आपका ध्यान के लिए धन्यवाद =)