Witam.
Mam pewien problem związany z Debianem, muszę uruchomić sieć składającą się z kilku komputerów z Linuksami. Będę chciał tylko skonfigurować firewalla na R1 (rysunek), (na serwerach w LAN i DMZ FW jest skonfigurowany) oraz podłączenie tego wszystkiego do sieci internet za pośrednictwem R1.
To dobry moment żeby zerknąć na schemat w załączniku.
W sieci LAN znajdują się:
*Serwer DHCP
Stały adres IP: 192.168.50.2
Brak dostępu z innych sieci VPN
Komunikacja z siecią LAN na porcie 67
*Serwer SAMBA
Stały adres IP: 192.168.50.3
Brak dostępu z innych sieci
Komunikacja z siecią LAN na portach 137, 138, 139
*Serwer SSH
Stały adres IP: 192.168.50.4
Brak dostępu z Internetu
Komunikacja z siecią LAN i DMZ na porcie 22
*Komputery PC
Adres IP z serwera DHCP
Dostęp do LAN
Dostęp do DMZ
Dostęp do Internetu
Otwarte porty: 22 (SSH), 25 (SMTP), 68 (DHCP), 80 (HTTP), 143 (IMAP), 137, 138, 139 (SAMBA)
W sieci DMZ znajdują się:
*SMTP i IMAP – Postfix.
Stały adres IP: 192.168.51.2
Dostęp do Internetu: wyjście/wejście na porcie 25 (SMTP), 143 (IMAP)
Komunikacja z Intranetem: wyjście/wejście na porcie 25 (SMTP), 143 (IMAP)
*IIS – mono.
Stały adres IP: 192.168.51.3
Dostęp do Internetu: wyjście/wejście na porcie 80 (HTTP)
Komunikacja z Intranetu: wyjście/wejście na porcie 80 (HTTP)
Komunikacja z PostgreSQL: wyjście/wejście na porcie 5432 (PostgreSQL)
*PostgreSQL.
Stały adres IP: 192.168.51.4
Brak dostępu z innych sieci
Komunikacja z IIS: wyjście/wejście na porcie 5432 (PostgreSQL)
Nie mam bladego pojęcia jak skonfigurować firewalla na ruterze. Co do dostępu do internetu to nie może być to zrobione przez MASQUERADE tylko dzięki DNAT, SNAT.
Wersja Debiana: LINUX debian 2.6.32-5-686
Wersja architektury systemu: i386
Czy ktokolwiek mógłby mi pomóc?
Dziękuję za wszystkie odpowiedzi.
DNAT, SNAT konfiguracja firewalla i podzia
Proszę poprawić i uzupełnić tekst zgodnie z tym, o czym napisałem w prywatnej wiadomości. Inaczej wyląduje w koszu.
http://debian.linux.pl/threads/12771-Za ... #post81406
http://debian.linux.pl/threads/12771-Za ... #post81406
http://debian.linux.pl/threads/5676-Prz ... -napiszesz" pisze:Nie mam bladego pojęcia jak skonfigurować firewalla na ruterze.
http://debian.linux.pl/content/402-Ipta ... cych-cz.-1
itd.
Nie rób podsieci obok siebie, jak masz 192.168.50.x to drugą podsieć zrób 192.168.100.x.
Opisów fw jest jak mrówków. Ze swojej strony jak zwykle polecę shorewalla - zgodnie z zasadą "po co robić coś co inni zrobili lepiej".
/etc/shorewall/interfaces:
/etc/shorewall/masq:
/etc/shorewall/zones:
itd... jak z przykładów na sieci.
Pliki które ci będą jeszcze potrzebne to
policy i rules, jakie polityki bedziesz chciał stosować i jakie reguły to już twoja broszka, przykładowa polityka*:
przykładowe reguły*:
*wklejam od siebie więc się nie sugeruj.
W razie problemów pisz.
A tam, mam czas to napiszę kawałek Ci jeszcze...:
reguły to już sobie sam machniesz.
Opisów fw jest jak mrówków. Ze swojej strony jak zwykle polecę shorewalla - zgodnie z zasadą "po co robić coś co inni zrobili lepiej".
/etc/shorewall/interfaces:
Kod: Zaznacz cały
#ZONE INTERFACE BROADCAST OPTIONS
wan eth2 192.168.10.255 tcpflags,routefilter,norfc1918,nosmurfs,logmartians
lan1 eth0 192.168.100.255 tcpflags,detectnets,nosmurfs,dhcp,routeback
lan2 eth1 192.168.50.255 tcpflags,detectnets,nosmurfs,dhcp,routebackKod: Zaznacz cały
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth2 192.168.50.0/24
eth2 192.168.100.0/24Kod: Zaznacz cały
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
wan ipv4
lan1 ipv4
lan2 ipv4
Pliki które ci będą jeszcze potrzebne to
policy i rules, jakie polityki bedziesz chciał stosować i jakie reguły to już twoja broszka, przykładowa polityka*:
Kod: Zaznacz cały
all wan ACCEPT
lan1 wan ACCEPT
lan2 all REJECT
Kod: Zaznacz cały
ACCEPT $FW lan1 udp 67,68
ACCEPT lan1 $FW udp 67,68
DROP all all udp 67,68W razie problemów pisz.
A tam, mam czas to napiszę kawałek Ci jeszcze...:
Kod: Zaznacz cały
#
# Policies for traffic originating from the firewall ($FW)
#
$FW wan ACCEPT
$FW lan1 ACCEPT
$FW lan2 ACCEPT
#
# Policies for traffic originating from the Internet (eth2)
#
wan $FW REJECT info
wan lan1 REJECT info
wan lan2 REJECT info
#
# Policies for traffic originating from the LAN1 (eth0)
#
lan1 wan ACCEPT
lan1 lan2 REJECT
lan1 $FW REJECT
#
# Policies for traffic originating from the LAN2 (eth1)
#
lan2 wan ACCEPT
lan2 lan1 REJECT
lan2 $FW REJECT