Как настроить безопасный шлюза на Linux Ubuntu?

Question

[ninja5plus]

Всем привет,
Делаю первые шаги в изучении Linux.
Стоит задача настроить шлюз на Linux Ubuntu 14.04.1 LTS.
Защиту сети хочу строить по схеме, что не разрешено - запрещено.

Сервер выполняет роль шлюза+nat+firewall для локальной сети.

eth0 смотрит в интернет, eth1 в локальную сеть (192.168.0.0/24)

IP address for eth0: 192.168.136.129
IP address for eth1: 192.168.0.1

pc1 (192.168.0.2) - Нужно заблокировать доступ в интернет.
pc2 (192.168.0.3) - Нужно пробросить порт 3389
pc3 (192.168.0.4) - Нужно пробросить порт 3390

Настройки системы
1.Сеть

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp

# eth1 - local
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0

pre-up iptables-restore < /etc/firewall.conf

2.Включен IP forwarding
net.ipv4.ip_forward = 1

3.iptables-save

*filter
:INPUT DROP [608:26735]
:FORWARD DROP [0:0]
:OUTPUT DROP [261:35404]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.2/32 -i eth1 -j DROP
-A FORWARD -s 192.168.0.2/32 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [905:67641]
:INPUT ACCEPT [1:52]
:OUTPUT ACCEPT [110:25072]
:POSTROUTING ACCEPT [8:480]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Помогите, пожалуйста, с правилами для проброса портов для pc2,pc3. И посмотрите общие правила на наличие ошибок.
Upd2. Добавлены правила перенаправления портов для pc2,pc3.

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.3:3389
iptables -I FORWARD -p tcp --dport 3389 --destination 192.168.0.3 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 3390 -j DNAT --to 192.168.0.4:3390
iptables -I FORWARD -p tcp --dport 3390 --destination 192.168.0.4 -j ACCEPT

Какие настройки системы стоит еще сделать чтобы обезопасить сервер.

Спасибо!

Answer 1

[brutal_lobster]

Почитайте туториал по iptables - а именно по порядку и месту применения правил/цепочек. Там не сложно - сразу поймете процесс )
Мне нравится: www.amazon.com/Linux-iptables-Pocket-Reference-Gre...
Ну и начните с чего попроще - поиграйтесь, пооткрывайте/закрывайте порты, таблицу нат пощупайте.

Дефолтная политика drop - это хорошо, но можно случайно себя закрыть) Ставьте лучше в конец цепочек drop all.
А для проброса порта вам нужно не только изменить адрес назначения (-j DNAT), но и разрешить форвардинг нужных пакетов.

Comments

[ninja5plus]

brutal_lobster, спасибо.

Answer 2

[ninja5plus]

UPD1:Перешел на версию 14.04.1 LTS.