In uno dei scenari di rete classici è previsto un firewall esterno, a proteggere gli host di una DMZ, e un eventuale separato firewall interno, con un IP sulla DMZ pubblica e una interfaccia verso una LAN interna.
Configurazione essenziale di un firewall esterno
La DMZ è routata e prevede host con IP pubblico (si è usata una rete d'esempio, la 217.56.217.0/255.255.255.240, arbitraria ma realistica).
Il firewall routa e filtra secondo logiche semplici e comode (permissive)
- Protegge un server di posta (SMTP e POP3) e DNS
- Protegge un secondo server web (HTTP e HTTPS)
- Permette libero traffico in uscita (outbound) sia dalla DMZ che da se stesso verso Internet
- Permette accesso SSH da un IP fidato (arbitrario) per gestione remota
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m tcp -p tcp --dport 22 -s 10.0.1.150 -j ACCEPT
-A FORWARD -d 217.56.217.2 -i eth0 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 217.56.217.2 -i eth0 -p tcp --dport 443 -j ACCEPT
-A FORWARD -d 217.56.217.3 -i eth0 -p tcp --dport 25 -j ACCEPT
-A FORWARD -d 217.56.217.3 -i eth0 -p tcp --dport 110 -j ACCEPT
-A FORWARD -d 217.56.217.3 -i eth0 -p tcp --dport 53 -j ACCEPT
-A FORWARD -d 217.56.217.3 -i eth0 -p udp --dport 53 -j ACCEPT
-A FORWARD -m tcp -p tcp -s 217.56.217.0/255.255.255.240 -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT