Miko27 Опубликовано 22 марта, 2007 Жалоба Опубликовано 22 марта, 2007 Схема такая: 192.168.0.0/24 <-> FireWall(Masquerading) <-> 10.202.х.0/24 <-> Router (провайдера) <-> 10.202.0.0/14 <-> Proxy (провайдера) <-> Internet Схема может тупая, но такая Немного поясню - Провайдер выделил одной большой организации (состоит из нескольких управлений) ,к примеру, подсеть 10.202.0.0/14. Нашему управлению дали подсеть 10.202.х.0/24 В други управлениях подсеть 10.202.y.0/24 и т.д. В Интернет можно выползать только через проки провайдера. Значит моя подсеть 10.202.х.0/24, но аудит нашей большой организации требует, что бы у каждого упрвления бал свой FireWall, что бы управления одной организации не проникали в сетки друг-друга Поэтому я делаю еще одну подсеть,к примеру, 192.168.0.0/24 и она делает маскарадинг в мою подсеть 10.202.х.0/24, а там на Router (провайдера) и потом в подсеть 10.202.0.0/14. Но смысла в таком FireWall не много. Конечно скрывает мою сетку от 10.202.0.0/14, но вопос следующий. Хочется использовать FireWall для его прямого назначения - фильтрации пакетов (например закрыть юзерам интернет-радио, mIRC, Skype, доступ к определенным сайтам). Но смогу ли я это сделать ? Ведь мой FireWall всегда будет получать не реальный IP и порт, а порт Proxy провайдера и немаршрутизированные адреса сетки 10.202.0.0/14. Значит нет никаких вариантов мне фильтровать пакеты, приходящие из внешней сети Интернет на мой FireWall ? Опытные Админы рассказите так я понял, или всета - ки как - то смогу фильтровать пакеты из внешней сетки своим FireWall. ? СПАСИБО!!! ХОРОШЕГО ВАМ ДНЯ!!! Цитата
cppmm Опубликовано 22 марта, 2007 Жалоба Опубликовано 22 марта, 2007 Ставите сперва для всех цепочек политику DROP. iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP Потом разрешаете для вашей подсети только выход на прокси провайдера и всё. iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 --sport <порт_прокси> -j ACCEPT iptables -t filter -A FORWARD -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 --dport <порт_прокси> -j ACCEPT Ну и маскарад. iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы и, если нужны, остальные сервисы (ssh, почта и т.д.). Для этого придётся почитать man iptables По поводу отдельных сайтов, здесь, я думаю лучше всех справится squid. Цитата
Miko27 Опубликовано 23 марта, 2007 Автор Жалоба Опубликовано 23 марта, 2007 >> Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы << DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii v svojstvah protokola TCP/IP Ili eto ne variant ? Etim DNS provajdera toze nado budet otkritj putj v Ipchains? Цитата
cppmm Опубликовано 23 марта, 2007 Жалоба Опубликовано 23 марта, 2007 Цитата: DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii v svojstvah protokola TCP/IP Совершенно верно. Для этого нужно разрешить прохождение пакетов по 53-ему порту для протоколов tcp и udp. Причем нужно разрешить и INPUT, и OUTPUT, и FORWARD в обе стороны. Цитата
Miko27 Опубликовано 26 марта, 2007 Автор Жалоба Опубликовано 26 марта, 2007 Хорошо.Я откорю путь для DNS на FireWall Смогу ли я тогда, хотя бы, в IPchains отсеивать пакеты по DNS именам, если все пойдет через прокси провайдера, как я писал выше ? Например ipchains -A input -d www.host.org -j DENY Цитата
cppmm Опубликовано 27 марта, 2007 Жалоба Опубликовано 27 марта, 2007 Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? P.S. Цитата: ipchains -A input -d www.host.org -j DENY Извинябсь за оффтоп, но почему мне захотелось написать такое правило для www.bash.org.ru ? Цитата
Miko27 Опубликовано 27 марта, 2007 Автор Жалоба Опубликовано 27 марта, 2007 cppmm писал(а) Tue, 27 March 2007 10:50 Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? Дело в том, что у меня дистрибутив с ядром 2.2 Висит на старой машине. Все в консоли. А в ядре 2.2 по умолчанию IPchains вместо iptables. Покачто хотелосьбы узнать IPchains потом перейду на ядро 2.4 и iptables Цитата
cppmm Опубликовано 27 марта, 2007 Жалоба Опубликовано 27 марта, 2007 Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось. Цитата
Miko27 Опубликовано 27 марта, 2007 Автор Жалоба Опубликовано 27 марта, 2007 cppmm писал(а) Tue, 27 March 2007 15:56 Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось. Ok. Спасибо за нужные советы. Буду пробывать... Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.