我想学习更多关于网络技术的知识。因此我想在 DMZ 中运行 Raspberry Pi 作为 Web 服务器。
正在起作用的是: pi 上的 Appache Server 正在运行。当我在 LAN 中使用它并允许 Linksys 转发其本地 192.168.1.xxx(静态 IP)端口时,我可以从外部访问它。
我的问题: 当它插入 DMZ 端口时,我找不到正确的配置。
LRT214 的配置:(从 ISP 获取,可用)
Interface 1: WAN1
WAN Connection type: Static IP
WAN IP Adress: 12.34.56.01 (Number here modified for security reason)
Subnet: 255.255.255.240
Default Gateway: 12.34.56.02 (Number here modified for security reason)
DNS 1: 8.8.8.8
DNS 2: 8.8.4.4
我不明白的设置(在 LRT214 上):
DMZ Private IP Addres: xxx.xxx.xxx.xx
这是什么意思?这是我在树莓派中用作静态 IP 的 IP 吗?
*我需要帮助的设置:Raspberry /etc/network/interfaces“
我认为我必须在这里写一些有意义的东西,形式如下:
iface eth0 inet static
address xxx.xxx.xxx.xxx
netmask xxx.xxx.xxx.xxx
gateway xxx.xxx.xxx.xxx
无论如何,我尝试 192.168.1.xxx 和 12.34.56.xx 都失败了。
iptables我知道我的下一步是在树莓派上正确设置。我的计划是屏蔽除此处http:之外的所有内容ssh:。
iptables -P INPUT ACCEPT # only required, so that I don't lock myself out during SSH session
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP # now drop the rest
感谢您对正确设置的帮助。
编辑 在写这篇文章时,我想知道 DMZ 上的树莓派是否需要单独的静态 WAN IP。除了 12.34.56.01。因为路由器如何知道哪些流量应该路由到树莓派,哪些应该路由到 LAN?我是否遗漏了任何重要的设置。
答案1
三条评论:
你当前的配置使你的 PI 与 LAN 中的任何其他 PC 相同,IE它不在 DMZ 中。处于 DMZ 中意味着 Internet 的端口配置正确,并且与 LAN 的其余部分隔离,因此如果入侵者获得对 Pi 服务器的访问权限,则他仍然无法访问其余 PC。这需要一种称为VLAN将它与 LAN 的其余部分分开:好消息是,如果你在 DMZ 掩码中指定 Pi 的 IP 地址,你的 LRT214 会自动为你执行此操作,如第 16 页所述LRT214 用户手册。
中的节
/etc/network/interfaces应为:auto eth0 iface eth0 inet static address 192.168.73.94 netmask 255.255.255.0 gateway 192.168.73.1 dns-nameservers 192.168.73.1 dns-nameservers 8.8.8.8请记住根据您的情况进行调整。
您忽略了以下最重要的
iptables规则:iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT它指示
netfilter防火墙允许与已在进行的连接有关的数据包(在不同于 80 和 22 的端口上)。正在进行的连接都是由某人连接到你的 80 和 22 端口开始的,但是还连接你发起:如果你错过了这条规则,你自己的查询将不会得到后续处理,包括更新、加载网页、连接本地和远程机器等等。