Вы сейчас точно о встроенном брандмауэре говорите?
Вновь повторю, мне необходимо было убрать сервис в DMZ, ставить отдельную машину в качестве фаера, а уж тем более ставить на эту машину Windows, нет уж.
ps
да, со службой RRaS не знаком
За сим закончу, поставленные задачи выполнены, трафик бегает так как мне нужно.
В заключении стоит отметить, что данное решение весьма бюджетно и вряд ли может рассматриваться при больших объемах трафика. При тестировании iperf'ом были получены следующие результаты:
сервер iperf запущен в dmz, клиент в локалке = ~ 36Mb/s
сервер iperf запущен в dmz, клиент в Internet = ~ 26Mb/s
Для меня этого вполне достаточно, провайдер дает нам 4Mb/s, а из локальной сети в DMZ трафик весьма не велик.
Вы вообще читаете то, что я вам отвечаю?
Еще раз повторяю, главное слово здесь DMZ
И я решал не абстрактную, а вполне конкретную задачу. Если вас смущает мое отношение(о чем я явно указал в начале) к встроенному в Windows брандмауэру, что же оставлю вас наедине со своим смущением.
Ни один сервер доступный из сети Internet не будет смотреть другим интерфейсом в локальную сеть, только через фаервол.
Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.
Убирать я ничего не буду, как и при помощи каких инструментов решать поставленные задачи каждый администратор решает сам.
Касаемо избыточности — прочтите наконец уже что такое DMZ.
Продолжение дальнейшей полемики в текущем ключе, это уже, ИМХО, ололо )
Вы не достаточно внимательны, как мне кажется.
Говоря о том, что этого можно добиться встроенными средствами Windows(в чем я очень сомневаюсь), вы не учитываете тот факт, что в качестве роутера выступает «коробочка» за 2,5к рублей. Windows уже умеет работать на таких устройствах? Брандмауэр Windows умеет SNAT/DNAT(подмена адреса источника/адреса назначения)?
Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу.
Но все таки беретесь судить ;)
но, согласитесь, в большинстве случаев в этом нет необходимости
В моей заметке рассмотрены «большинство случаев»? В заголовке явно указанно чего мне необходимо добиться. В который раз повторюсь, мне нужно «спрятать» сервер в DMZ(о DMZ есть сноска в начале), и совершенно не важно Windows ли это, Linux или FreeBSD сервер.
Важно убрать тот сервис, который доступен извне.
Конечно.
При помощи Iptables я разделил по сути три сети — DMZ(где и находится сервер), локальную сеть и Internet, тем самым обезопасил локальную сеть от проникновения извне при взломе сервера находящегося в DMZ. Средствами встроенного в Windows фаервола это вряд ли достижимо.
При помощи Iptables я могу гибко управлять трафиком идущим в любых направлениях
DMZ -> LAN — нельзя ничего
LAN -> DMZ — можно только tcp: 31187,3389
Internet -> DMZ — можно tcp: 8001,31187,20113,20118; udp: 20113,20118
DMZ -> Internet — можно только icmp, при чем только два типа icmp: echo request/reply
LAN -> Internet — нельзя ничего
Internet -> LAN — нельзя ничего
Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.
Во первых, что ты понимаешь под пробросом портов?
Просто ставим перед w2k3 роутер с Linux и направляем нужный трафик?
Мне необходимо было именно «спрятать» w2k3 и этот сервис в DMZ для того чтобы если кто-то проникнет на этот сервер, то этот кто-то не мог бы попасть в локальную сеть.
Сервис слушает несколько портов
tcp: 8001,31187,20113,20118
udp: 20113,20118
Все пакеты пришедшие на внешний ip отправляются этому сервису в dmz…
Что непонятного то? =)
Из локалки в DMZ можно только на
tcp 31187 и 3389
и
icmp
Из DMZ в локалку вообще нельзя
Вновь повторю, мне необходимо было убрать сервис в DMZ, ставить отдельную машину в качестве фаера, а уж тем более ставить на эту машину Windows, нет уж.
ps
да, со службой RRaS не знаком
Еще раз повторяю, главное слово здесь DMZ
И я решал не абстрактную, а вполне конкретную задачу. Если вас смущает мое отношение(о чем я явно указал в начале) к встроенному в Windows брандмауэру, что же оставлю вас наедине со своим смущением.
Ни один сервер доступный из сети Internet не будет смотреть другим интерфейсом в локальную сеть, только через фаервол.
Убирать я ничего не буду, как и при помощи каких инструментов решать поставленные задачи каждый администратор решает сам.
Касаемо избыточности — прочтите наконец уже что такое DMZ.
Продолжение дальнейшей полемики в текущем ключе, это уже, ИМХО, ололо )
Говоря о том, что этого можно добиться встроенными средствами Windows(в чем я очень сомневаюсь), вы не учитываете тот факт, что в качестве роутера выступает «коробочка» за 2,5к рублей. Windows уже умеет работать на таких устройствах? Брандмауэр Windows умеет SNAT/DNAT(подмена адреса источника/адреса назначения)?
Но все таки беретесь судить ;)
В моей заметке рассмотрены «большинство случаев»? В заголовке явно указанно чего мне необходимо добиться. В который раз повторюсь, мне нужно «спрятать» сервер в DMZ(о DMZ есть сноска в начале), и совершенно не важно Windows ли это, Linux или FreeBSD сервер.
Важно убрать тот сервис, который доступен извне.
При помощи Iptables я разделил по сути три сети — DMZ(где и находится сервер), локальную сеть и Internet, тем самым обезопасил локальную сеть от проникновения извне при взломе сервера находящегося в DMZ. Средствами встроенного в Windows фаервола это вряд ли достижимо.
При помощи Iptables я могу гибко управлять трафиком идущим в любых направлениях
DMZ -> LAN — нельзя ничего
LAN -> DMZ — можно только tcp: 31187,3389
Internet -> DMZ — можно tcp: 8001,31187,20113,20118; udp: 20113,20118
DMZ -> Internet — можно только icmp, при чем только два типа icmp: echo request/reply
LAN -> Internet — нельзя ничего
Internet -> LAN — нельзя ничего
Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.
Моя задача как раз и заключалась в реализации DMZ+Iptables на бюджетном роутере.
в правилах iptables все написано )
конечно предусмотрел
Ведь в этом и есть суть DMZ
Скил терпение, прокачан )
Удачи.
ps
гуи зло
Просто ставим перед w2k3 роутер с Linux и направляем нужный трафик?
Мне необходимо было именно «спрятать» w2k3 и этот сервис в DMZ для того чтобы если кто-то проникнет на этот сервер, то этот кто-то не мог бы попасть в локальную сеть.
tcp: 8001,31187,20113,20118
udp: 20113,20118
Все пакеты пришедшие на внешний ip отправляются этому сервису в dmz…
Что непонятного то? =)
Из локалки в DMZ можно только на
tcp 31187 и 3389
и
icmp
Из DMZ в локалку вообще нельзя
тогда +1 )
Это кто то написал в надежде получить инвайт, а вы взяли да и скопипастили, или как?