Страница 1 из 3
Нужен совет по фаерволу
Добавлено:
02 янв 2008, 18:34 Андрей Тр. aka RH
С фаерволами в корп. сетях пока работать не доводилось, а тут привалило щастье - у клиента меняется провайдер, ну и по ряду причин встал вопрос об установке железки с двумя сетевыми для фильтрации трафика наружу ( как я понимаю, такие еще называют edge или inline firewall ) вместо имеющегося простого прокси сервера на сквиде.
При этом нет большого желания делать НАТ, хочется всю адресацию оставить как есть ( имеем IP диапазон из 10.x.y.z ), причём, если такое возможно, настроить это дело так, чтобы в крайнем случае - при смерти этой железки - была бы возможность всех клиентов временно воткнуть непосредственно в гейт к провайдеру, в обход локального прокси, ну и фаера при этом тоже ( разве что с изменением гейта в дхцп сервере ? ).
Короче, было : ЛВС, днс/дхцп, сквид --- гейт ( роутер ) провайдера
Стало : ЛВС, днс/дхцп --- NIC1- фаервол, сквид - NIC2 --- гейт ( роутер ) провайдера
Насколько я понимаю, фаер делаем на iptables ( их вроде можно настроить даже не вручную, а одной из имеющихся тулз ). Как мне кажется, набор правил будет достаточно несложный, хочется порезать весь р2р трафик и оставить преимущественно http и т.п. Вопрос в том, как именно поступить с адресацией на NIC1 и NIC2 и что придётся менять на клиентах.
Добавлено:
02 янв 2008, 19:35 Иван Левшин aka Ivan L.
Андрей, если речь идет именно о
железке - категорически рекомендую присмотреться к
Astaro Security Gateway. На его софтверной начинке базировался NSM - мне оно очень понравилось.
Ну или нечто подобное искать.
Добавлено:
03 янв 2008, 16:57 Андрей Тр. aka RH
Иван, пока что речь идёт просто о сервере SLES10 ( скорее всего - OES2 ) с двумя сетевыми. Сеть не такая уж большая, чтобы под это дело покупать специальную железку, да и трафик наружу сравнительно невелик.
Добавлено:
03 янв 2008, 20:10 Иван Левшин aka Ivan L.
Под небольшую сеть совершенно нет необходимости приобретать SLES10 (тем более - OES2) - если, конечно, нужен только файрволл. Можно обойтись решением на базе любого фрюникса.
Добавлено:
04 янв 2008, 06:17 Андрей Тр. aka RH
Иван, вышеупомянутый "имеющийся простой прокси-сервер" в данный момент есть OES/SLES9, который в ближайшее время будет заменен на OES2/SLES10. К вопросу о фаере это отношения, практически, не имеет - речь не идет ни про приобретение софта, ни нового железа.
Мой вопрос, скорее, теоретический, про TCPIP вообще - какие у меня есть варианты в данном случае с двумя сетевыми. Придется ли мне заводить новые адреса для сетки на NIC1, какие правила писать для iptables ( хотя бы в общих чертах ) и т.д.
Добавлено:
04 янв 2008, 12:57 Владимир Горяев
Если речь чисто о железяке. Недавно имел дело с длинком (дефендед какой-то... а DFL-210). Так вот, для неогроменной сети самое то. Имеет 3 ифейса - внутренний, ДМЗ, и внешний. Стоит ерунду, около 200 зеленых. Симпотно рулится через ВЕБ.
Добавлено:
04 янв 2008, 15:50 Андрей Тр. aka RH
Дефендед посмотрим .. который Нетдефенд. DFL-260 так вроде получше, хотя не знаю цену на него. В принципе, за такую цену можно купить и железку, чем морочить себе голову с iptables на сервере. Вопрос, правда, все так и остается - этот девайс будет роутером, и адреса на обеих сетевых могут быть из моего теперешнего диапазона 10.x.y.z, и оно все будет роутить с одного на другой .. или как ?
Добавлено:
04 янв 2008, 16:36 skoltogyan
мне трудно понять вопрос на сленге : ) поэтому напишу, как понял
скорее всего Вам прийдется только убрать из настроек броузеров информацию о проксе-сервре (будут ходить без прокси Вашей или через прокси-сервер провайдера.
Добавлено:
05 янв 2008, 01:11 Иван Левшин aka Ivan L.
Андрей Тр. aka RH писал(а):Дефендед посмотрим .. который Нетдефенд. DFL-260 так вроде получше, хотя не знаю цену на него. В принципе, за такую цену можно купить и железку, чем морочить себе голову с iptables на сервере. Вопрос, правда, все так и остается - этот девайс будет роутером, и адреса на обеих сетевых могут быть из моего теперешнего диапазона 10.x.y.z, и оно все будет роутить с одного на другой .. или как ?
Андрей, это нормальный рутер - любой appliance есть некая железка (типа мелкого сервера) и ОС, вшитую в эту железку. Маршрутизацию между приватными диапазонами оно должно делать абсолютно спокойно.
Единственное "но" - никаких особых тонкостей в настройке компонентов железки не получишь. Как правило, все управляется через браузер и доступ через консоль настоятельно не рекомендуется (хотя часто и возможен). В общем, если надо по быстрому и малой кровью все настроить - самое оно.
Добавлено:
05 янв 2008, 12:04 Андрей Тр. aka RH
Согласен, вопрос получился несколько расплывчатый
Попробуем уточнить, разбив его на подвопросы. Для начала хочу уточнить собственно про роутинг - как сказал Иван, между приватными диапазонами ?
В данный момент вся внутренняя сеть построена на сетке 10.x.y.0 ( точную адресацию сейчас не помню, да и не в этом, наверное, суть ), с маской 255.255.248.0 Gateway'ем для этой сетки является порт в роутере провайдера, с адресом 10.x.y.1
Один из вопросов был в том, что ежели мой сервер с двумя сетевыми интерфейсами NIC1 и NIC2 помещается между внутренней сетью и роутером провайдера, то какие адреса должны быть назначены этим самым сетевым интерфейсам ( вроде сленга удалось избежать ). И какой тогда указывать адрес gateway ( шлюза ) на клиентах ? Вообще, если серверу предстоить маршрутизировать трафик "между приватными диапазонами", означает ли это, что в моем случае NIC1 и NIC2 должны принадлежать разным таким диапазонам .. кхм
Собственно маршрутизацией мне доводилось заниматься .. даже уж и не помню, когда это было.
Добавлено:
05 янв 2008, 21:11 Walery
Андрей Тр. aka RH писал(а):В данный момент вся внутренняя сеть построена на сетке 10.x.y.0 ( точную адресацию сейчас не помню, да и не в этом, наверное, суть ), с маской 255.255.248.0 Gateway'ем для этой сетки является порт в роутере провайдера, с адресом 10.x.y.1
Один из вопросов был в том, что ежели мой сервер с двумя сетевыми интерфейсами NIC1 и NIC2 помещается между внутренней сетью и роутером провайдера, то какие адреса должны быть назначены этим самым сетевым интерфейсам ( вроде сленга удалось избежать ). И какой тогда указывать адрес gateway ( шлюза ) на клиентах ? Вообще, если серверу предстоить маршрутизировать трафик "между приватными диапазонами", означает ли это, что в моем случае NIC1 и NIC2 должны принадлежать разным таким диапазонам .. кхм
Собственно ситуация стандартная, одной сетью не получится, придется разбивать на 2 сети, внутреннюю и внешнюю, например (меняем только свои данные, для провайдера все изменения незаметны):
внутрення сеть: 192.168.х.0/24
NIC1 (смотрит во внутреннюю сеть): 192.168.х.1
на клиентах адрес gateway: 192.168.х.1
NIC2 (смотрит на провайдера): 10.x.y.2
на сервере default gateway: 10.x.y.1
В качестве надстройки над iptables я бы посоветовал shorewall, по крайней мере после долгих лет борьбы с SuSEfirewall я перешел именно на него
, хотя это на любителя
Добавлено:
06 янв 2008, 08:45 Андрей Тр. aka RH
Walery писал(а):одной сетью не получится, придется разбивать на 2 сети, внутреннюю и внешнюю, .. меняем только свои данные
Вот и я так понял - хотя всё, что мне в данном случае хочется - фильтровать трафик, идущий к провайдеру и от него. Ну хорошо, в этой сети сравнительно немного хостов со статическими адресами - я думаю, наберется штук 40-50. Среди них, конечно, есть и серверы - менять адреса серверов без острой на то необходимости мне совсем неохота. А если в сети сотни или больше таких устройств .. значит, установка фаервола всегда влечет подобные последствия ?
Плюс в этом случае сервер с фаерволом становится single point of failure. При теперешнем варианте, когда на нем крутится всего лишь прокси, в случае чего клиентов временно можно перевести на прокси провайдера ( что не представляет труда ), или поднять сквид на каком-то другом сервере. Если же я, по сути, превращаю сервер в роутер, то без него выхода наружу уже просто не будет.
Кстати, про shorewall я уже читал ( как один из вариантов ). Есть ещё вот такой CD -
IP Filters for Linux and NetWare - a straight forward approach - но платить $125 пока что жаба давит.
Добавлено:
06 янв 2008, 12:41 Юрий Беляков
Андрей, если пользователей не очень много, посмотри Cisco ASA 5505.
http://www.cisco.com/en/US/products/ps6 ... rison.html
По ценам достаточно либеральная железка.
Добавлено:
06 янв 2008, 18:42 Андрей Тр. aka RH
Спасибо за рекомендации по железкам, на данный момент вопрос стоит, скорее, не "как сделать", а "делать ли вообще" - по упомянутым мной выше причинам. И какими способами можно избежать переназначения адресов для всей "внутренней" сети.
Добавлено:
06 янв 2008, 20:12 skoltogyan
Андрей Тр. aka RH писал(а):
Как по мне - в курсах и подобных им книгах учат КАК сделать то или иное действие.
Но не рассказывается когда и как эти дейтсвия применять.
Образно говоря - учат как поворачивать автомобиль, но не учат как на нем ехать..
ЧТо-бы Вы сейчас САМОСТОЯТЕЛЬНО не предприняли на основании книжки, дискиа или совета - будет плохо. Просто пПолучите опыт и потом обязательно переделайте, когда разберетесь : ) - что-же В на самом деле хотите построить