Miko27 Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Схема такая: 192.168.0.0/24 <-> FireWall(Masquerading) <-> 10.202.х.0/24 <-> Router (провайдера) <-> 10.202.0.0/14 <-> Proxy (провайдера) <-> Internet Схема может тупая, но такая Немного поясню - Провайдер выделил одной большой организации (состоит из нескольких управлений) ,к примеру, подсеть 10.202.0.0/14. Нашему управлению дали подсеть 10.202.х.0/24 В други управлениях подсеть 10.202.y.0/24 и т.д. В Интернет можно выползать только через проки провайдера. Значит моя подсеть 10.202.х.0/24, но аудит нашей большой организации требует, что бы у каждого упрвления бал свой FireWall, что бы управления одной организации не проникали в сетки друг-друга Поэтому я делаю еще одну подсеть,к примеру, 192.168.0.0/24 и она делает маскарадинг в мою подсеть 10.202.х.0/24, а там на Router (провайдера) и потом в подсеть 10.202.0.0/14. Но смысла в таком FireWall не много. Конечно скрывает мою сетку от 10.202.0.0/14, но вопос следующий. Хочется использовать FireWall для его прямого назначения - фильтрации пакетов (например закрыть юзерам интернет-радио, mIRC, Skype, доступ к определенным сайтам). Но смогу ли я это сделать ? Ведь мой FireWall всегда будет получать не реальный IP и порт, а порт Proxy провайдера и немаршрутизированные адреса сетки 10.202.0.0/14. Значит нет никаких вариантов мне фильтровать пакеты, приходящие из внешней сети Интернет на мой FireWall ? Опытные Админы рассказите так я понял, или всета - ки как - то смогу фильтровать пакеты из внешней сетки своим FireWall. ? СПАСИБО!!! ХОРОШЕГО ВАМ ДНЯ!!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Ставите сперва для всех цепочек политику DROP. iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP Потом разрешаете для вашей подсети только выход на прокси провайдера и всё. iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT iptables -t filter -A FORWARD -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT Ну и маскарад. iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы и, если нужны, остальные сервисы (ssh, почта и т.д.). Для этого придётся почитать man iptables По поводу отдельных сайтов, здесь, я думаю лучше всех справится squid. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Miko27 Опубликовано 23 марта, 2007 Автор Жалоба Поделиться Опубликовано 23 марта, 2007 >> Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы << DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii v svojstvah protokola TCP/IP Ili eto ne variant ? Etim DNS provajdera toze nado budet otkritj putj v Ipchains? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 23 марта, 2007 Жалоба Поделиться Опубликовано 23 марта, 2007 Цитата: DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii v svojstvah protokola TCP/IP Совершенно верно. Для этого нужно разрешить прохождение пакетов по 53-ему порту для протоколов tcp и udp. Причем нужно разрешить и INPUT, и OUTPUT, и FORWARD в обе стороны. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Miko27 Опубликовано 26 марта, 2007 Автор Жалоба Поделиться Опубликовано 26 марта, 2007 Хорошо.Я откорю путь для DNS на FireWall Смогу ли я тогда, хотя бы, в IPchains отсеивать пакеты по DNS именам, если все пойдет через прокси провайдера, как я писал выше ? Например ipchains -A input -d www.host.org -j DENY Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? P.S. Цитата: ipchains -A input -d www.host.org -j DENY Извинябсь за оффтоп, но почему мне захотелось написать такое правило для www.bash.org.ru ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Miko27 Опубликовано 27 марта, 2007 Автор Жалоба Поделиться Опубликовано 27 марта, 2007 cppmm писал(а) Tue, 27 March 2007 10:50 Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? Дело в том, что у меня дистрибутив с ядром 2.2 Висит на старой машине. Все в консоли. А в ядре 2.2 по умолчанию IPchains вместо iptables. Покачто хотелосьбы узнать IPchains потом перейду на ядро 2.4 и iptables Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Miko27 Опубликовано 27 марта, 2007 Автор Жалоба Поделиться Опубликовано 27 марта, 2007 cppmm писал(а) Tue, 27 March 2007 15:56 Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось. Ok. Спасибо за нужные советы. Буду пробывать... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.