Перейти к содержанию

Вопрос о FireWall (начинающий)


Рекомендуемые сообщения

Схема такая: Embarassed

192.168.0.0/24 <-> FireWall(Masquerading) <-> 10.202.х.0/24

<-> Router (провайдера) <-> 10.202.0.0/14 <->

Proxy (провайдера) <-> Internet

Схема может тупая, но такая Embarassed

Немного поясню - Провайдер выделил одной большой

организации (состоит из нескольких управлений) ,к примеру, подсеть 10.202.0.0/14. Нашему управлению дали

подсеть 10.202.х.0/24 В други управлениях подсеть

10.202.y.0/24 и т.д. В Интернет можно выползать только

через проки провайдера. Embarassed Значит моя подсеть

10.202.х.0/24, но аудит нашей большой организации требует,

что бы у каждого упрвления бал свой FireWall, что бы

управления одной организации не проникали в сетки

друг-друга Smile

Поэтому я делаю еще одну подсеть,к примеру, 192.168.0.0/24

и она делает маскарадинг в мою подсеть 10.202.х.0/24, а

там на Router (провайдера) и потом в подсеть 10.202.0.0/14.

Но смысла в таком FireWall не много. Конечно скрывает мою

сетку от 10.202.0.0/14, но вопос следующий. Embarassed

Хочется использовать FireWall для его прямого назначения -

фильтрации пакетов (например закрыть юзерам интернет-радио,

mIRC, Skype, доступ к определенным сайтам).

Но смогу ли я это сделать ? Ведь мой FireWall всегда будет

получать не реальный IP и порт, а порт Proxy провайдера и

немаршрутизированные адреса сетки 10.202.0.0/14. Значит нет никаких вариантов мне фильтровать пакеты, приходящие из внешней сети Интернет на мой FireWall ? Embarassed

Опытные Админы рассказите так я понял, или всета - ки

как - то смогу фильтровать пакеты из внешней сетки своим

FireWall. ?

СПАСИБО!!! ХОРОШЕГО ВАМ ДНЯ!!!

Ссылка на комментарий
Поделиться на другие сайты

Ставите сперва для всех цепочек политику DROP.

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

Потом разрешаете для вашей подсети только выход на прокси провайдера и всё.

iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT

iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT

iptables -t filter -A FORWARD -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT

Ну и маскарад.

iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы и, если нужны, остальные сервисы (ssh, почта и т.д.). Для этого придётся почитать man iptables

По поводу отдельных сайтов, здесь, я думаю лучше всех справится squid.

Ссылка на комментарий
Поделиться на другие сайты

>> Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы <<

DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS

provajdera., kotorie propisivajutsja na kazdoj rabochej stancii

v svojstvah protokola TCP/IP

Ili eto ne variant ?

Etim DNS provajdera toze nado budet otkritj putj v Ipchains?

Ссылка на комментарий
Поделиться на другие сайты

Цитата:

DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii

v svojstvah protokola TCP/IP

Совершенно верно. Для этого нужно разрешить прохождение пакетов по 53-ему порту для протоколов tcp и udp. Причем нужно разрешить и INPUT, и OUTPUT, и FORWARD в обе стороны.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо.Я откорю путь для DNS на FireWall

Смогу ли я тогда, хотя бы, в IPchains отсеивать пакеты

по DNS именам, если все пойдет через прокси провайдера,

как я писал выше ?

Например

ipchains -A input -d www.host.org -j DENY

Ссылка на комментарий
Поделиться на другие сайты

Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? :)

P.S.

Цитата:

ipchains -A input -d www.host.org -j DENY

Извинябсь за оффтоп, но почему мне захотелось написать такое правило для www.bash.org.ru ? ;)

Ссылка на комментарий
Поделиться на другие сайты

cppmm писал(а) Tue, 27 March 2007 10:50

Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? Smile

Дело в том, что у меня дистрибутив с ядром 2.2

Висит на старой машине. Все в консоли.

А в ядре 2.2 по умолчанию IPchains вместо iptables.

Покачто хотелосьбы узнать IPchains потом перейду на ядро 2.4 и

iptables Smile

Ссылка на комментарий
Поделиться на другие сайты

cppmm писал(а) Tue, 27 March 2007 15:56

Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось.

Ok. Спасибо за нужные советы. Буду пробывать... Smile

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...