Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

DNAT, SNAT konfiguracja firewalla i podzia

https://www.debian.pl/viewtopic.php?t=28205

Strona 1 z 1

DNAT, SNAT konfiguracja firewalla i podział internetu

: 23 grudnia 2012, 20:18
autor: yeti16
Witam.
Mam pewien problem związany z Debianem, muszę uruchomić sieć składającą się z kilku komputerów z Linuksami. Będę chciał tylko skonfigurować firewalla na R1 (rysunek), (na serwerach w LAN i DMZ FW jest skonfigurowany) oraz podłączenie tego wszystkiego do sieci internet za pośrednictwem R1.

To dobry moment żeby zerknąć na schemat w załączniku.

W sieci LAN znajdują się:
*Serwer DHCP
Stały adres IP: 192.168.50.2
Brak dostępu z innych sieci VPN
Komunikacja z siecią LAN na porcie 67

*Serwer SAMBA
Stały adres IP: 192.168.50.3
Brak dostępu z innych sieci
Komunikacja z siecią LAN na portach 137, 138, 139

*Serwer SSH
Stały adres IP: 192.168.50.4
Brak dostępu z Internetu
Komunikacja z siecią LAN i DMZ na porcie 22

*Komputery PC
Adres IP z serwera DHCP
Dostęp do LAN
Dostęp do DMZ
Dostęp do Internetu
Otwarte porty: 22 (SSH), 25 (SMTP), 68 (DHCP), 80 (HTTP), 143 (IMAP), 137, 138, 139 (SAMBA)


W sieci DMZ znajdują się:
*SMTP i IMAP – Postfix.
Stały adres IP: 192.168.51.2
Dostęp do Internetu: wyjście/wejście na porcie 25 (SMTP), 143 (IMAP)
Komunikacja z Intranetem: wyjście/wejście na porcie 25 (SMTP), 143 (IMAP)

*IIS – mono.
Stały adres IP: 192.168.51.3
Dostęp do Internetu: wyjście/wejście na porcie 80 (HTTP)
Komunikacja z Intranetu: wyjście/wejście na porcie 80 (HTTP)
Komunikacja z PostgreSQL: wyjście/wejście na porcie 5432 (PostgreSQL)

*PostgreSQL.
Stały adres IP: 192.168.51.4
Brak dostępu z innych sieci
Komunikacja z IIS: wyjście/wejście na porcie 5432 (PostgreSQL)

Nie mam bladego pojęcia jak skonfigurować firewalla na ruterze. Co do dostępu do internetu to nie może być to zrobione przez MASQUERADE tylko dzięki DNAT, SNAT.

Wersja Debiana: LINUX debian 2.6.32-5-686
Wersja architektury systemu: i386


Czy ktokolwiek mógłby mi pomóc?

Dziękuję za wszystkie odpowiedzi.

: 23 grudnia 2012, 20:46
autor: fnmirk
Proszę poprawić i uzupełnić tekst zgodnie z tym, o czym napisałem w prywatnej wiadomości. Inaczej wyląduje w koszu.

http://debian.linux.pl/threads/12771-Za ... #post81406

: 25 grudnia 2012, 19:35
autor: fnmirk
&quot pisze:Nie mam bladego pojęcia jak skonfigurować firewalla na ruterze.
http://debian.linux.pl/threads/5676-Prz ... -napiszesz
http://debian.linux.pl/content/402-Ipta ... cych-cz.-1
itd.

: 18 stycznia 2013, 15:45
autor: sethiel
Nie rób podsieci obok siebie, jak masz 192.168.50.x to drugą podsieć zrób 192.168.100.x.
Opisów fw jest jak mrówków. Ze swojej strony jak zwykle polecę shorewalla - zgodnie z zasadą "po co robić coś co inni zrobili lepiej".
/etc/shorewall/interfaces:

Kod: Zaznacz cały

#ZONE   INTERFACE       BROADCAST       OPTIONS
wan eth2 192.168.10.255 tcpflags,routefilter,norfc1918,nosmurfs,logmartians
lan1 eth0 192.168.100.255     tcpflags,detectnets,nosmurfs,dhcp,routeback
lan2 eth1 192.168.50.255   tcpflags,detectnets,nosmurfs,dhcp,routeback
/etc/shorewall/masq:

Kod: Zaznacz cały

#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
eth2                  192.168.50.0/24
eth2                  192.168.100.0/24
/etc/shorewall/zones:

Kod: Zaznacz cały

#ZONE   TYPE            OPTIONS         IN                      OUT
#                                          OPTIONS             OPTIONS
fw      firewall
wan     ipv4
lan1     ipv4
lan2     ipv4
itd... jak z przykładów na sieci.
Pliki które ci będą jeszcze potrzebne to
policy i rules, jakie polityki bedziesz chciał stosować i jakie reguły to już twoja broszka, przykładowa polityka*:

Kod: Zaznacz cały

all                     wan             ACCEPT
lan1                     wan             ACCEPT
lan2                     all             REJECT
przykładowe reguły*:

Kod: Zaznacz cały

ACCEPT          $FW     lan1     udp     67,68
ACCEPT          lan1     $FW     udp     67,68
DROP              all     all     udp     67,68
*wklejam od siebie więc się nie sugeruj.

W razie problemów pisz.

A tam, mam czas to napiszę kawałek Ci jeszcze...:

Kod: Zaznacz cały

#
# Policies for traffic originating from the firewall ($FW)
#
$FW                     wan             ACCEPT
$FW                     lan1             ACCEPT
$FW                     lan2             ACCEPT

#
# Policies for traffic originating from the Internet (eth2)
#
wan                     $FW             REJECT          info
wan                     lan1             REJECT          info
wan                     lan2             REJECT          info

#
# Policies for traffic originating from the LAN1 (eth0)
#
lan1                     wan             ACCEPT
lan1                     lan2             REJECT
lan1                     $FW             REJECT


#
# Policies for traffic originating from the LAN2 (eth1)
#
lan2                     wan             ACCEPT
lan2                     lan1             REJECT
lan2                     $FW             REJECT
reguły to już sobie sam machniesz.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl