Нужен совет по фаерволу

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение Walery » 07 янв 2008, 03:48

Андрей Тр. aka RH писал(а):Ну хорошо, в этой сети сравнительно немного хостов со статическими адресами - я думаю, наберется штук 40-50. Среди них, конечно, есть и серверы - менять адреса серверов без острой на то необходимости мне совсем неохота. А если в сети сотни или больше таких устройств .. значит, установка фаервола всегда влечет подобные последствия ?


Как бы это сказать покультурней... :) - установка файрвола никогда не должна повлечь за собой подобных последствий по одной причине - он всегда ставится в первую очередь :) Я к примеру с трудом могу представить ситуацию, когда в сеть, в которой есть сервера, провайдеру дается полный доступ, а наличие у вас с провайдером единого сетевого пространства именно об этом и говорит - тут и своим-то пользователям доверять нельзя, а уж посторонней организации... (параноидальный синдром - профессиональное заболевание сетевых администраторов :) ).


Андрей Тр. aka RH писал(а):Плюс в этом случае сервер с фаерволом становится single point of failure. При теперешнем варианте, когда на нем крутится всего лишь прокси, в случае чего клиентов временно можно перевести на прокси провайдера ( что не представляет труда ), или поднять сквид на каком-то другом сервере. Если же я, по сути, превращаю сервер в роутер, то без него выхода наружу уже просто не будет.


Встречный вопрос - а канал от второго провайдера у Вас заведен? Если нет, то провайдер тоже в свою очередь является single point of failure - тут уж ничего не поделаешь, если доступ в инет для Вас так критичен, то либо ставите рядом второй сервер, на который можно будет перебросить линки в случае проблем с первым сервером, либо как тут уже говорили, покупаете в качестве роутера железку - или Cisco ASA или 28xx, в случае выхода из строя (что для цисок довольно редкое явление) переписать настройки на аналогичное устройство дело 5-и минут.


Андрей Тр. aka RH писал(а):Есть ещё вот такой CD - IP Filters for Linux and NetWare - a straight forward approach - но платить $125 пока что жаба давит.


По-моему не имеет смысла - они просят деньги за то, что и так можно найти в инете, к примеру на том же opennet.ru
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 07 янв 2008, 15:38

Walery писал(а): Как бы это сказать покультурней... :) - установка файрвола никогда не должна повлечь за собой подобных последствий по одной причине - он всегда ставится в первую очередь :) Я к примеру с трудом могу представить ситуацию, когда в сеть, в которой есть сервера, провайдеру дается полный доступ, а наличие у вас с провайдером единого сетевого пространства именно об этом и говорит - тут и своим-то пользователям доверять нельзя, а уж посторонней организации...


Бывают сети разные - зелёные и .. Про полный доступ никто и не говорил. Данная сеть довольно своеобразна - как и сети других моих клиентов, она является частью очень большой корпоративной сети ( с централизованным НАТ'ом и пр. - так что организация одна, не доверять ей нельзя :)), ввиду чего не всё так просто. Некоторые вещи, равно как и принимаемые решения, ни я, ни даже сам клиент изменить не в силах - например, провайдер у них может быть только один, причём из утвержденного списка из четырёх провайдеров. Выход наружу представляет собой один порт в роутере ( являющимся частью корп. сети. доступа к которому я не имею ). На этом самом роутере большинство портов и так прикрыто. "Наружу" - означает не только в Интернет ( точнее, к НАТ и прокси провайдера ), но и в другие части корпоративной сети ( которая не является частью Интернета ). Доступ в Интернет не так критичен ( поэтому падение прокси сервера пережить можно ).

Им уже давно обещают корпоративный фаервол, но воз и ныне там. А в декабре клиент решил поменять провайдера ( на другого из того списка ). В связи с этим по ряду причин теперь есть желание более плотно контролировать трафик пользователей - я уже упоминал р2р трафик ( часть которого ещё не заблокирована ), есть и другие причины. Так что этот "фаервол", скорее, не совсем стандартный случай.

skoltogyan писал(а):ЧТо-бы Вы сейчас САМОСТОЯТЕЛЬНО не предприняли на основании книжки, дискиа или совета - будет плохо. Просто пПолучите опыт и потом обязательно переделайте, когда разберетесь : ) - что-же В на самом деле хотите построить

К сожалению, переделывать по многу раз возможности не будет. Пока что мне надо оценить потенциальный объём работы при разных вариантах решения возникшей задачи ( чтобы было хорошо :)). Советы люди, как правило, дают на основе своего опыта, поэтому я не вижу причин их не выслушать. Это, конечно, не означает, что я сразу же буду им всем следовать :)

Между тем, тот CD - это не книжка, не руководство и не сборник готовых правил iptables. Это рекомендации данного автора по их разработке и применению, созданные на основе его собственного опыта в реально работающих сетях. Я прочитал его краткое описание и мне в целом понравился его комплексный подход. Но $125 пока все равно жалко ( хотя за толковую информацию - не жалко ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 07 янв 2008, 23:11

Андрей Тр. aka RH писал(а):Бывают сети разные - зелёные и .. Про полный доступ никто и не говорил. Данная сеть довольно своеобразна - как и сети других моих клиентов, она является частью очень большой корпоративной сети ( с централизованным НАТ'ом и пр. - так что организация одна, не доверять ей нельзя :))


М-да, это несколько меняет дело... а нельзя ли обойтись малой кровью - попросить провайдера настроить ваш порт так, как вам нужно?

Андрей Тр. aka RH писал(а):А в декабре клиент решил поменять провайдера ( на другого из того списка ).


Кстати, а что в этом случае происходит с адресом роутера провайдера? Если он меняется на другой из той же сети то все понятно, а если сеть другая, то Вам все равно придется вносить изменения в свою сеть.

Как один из вариантов оставить у клиентов ту же сеть - попробовать разбить существующую 10.x.y.0/255.255.248.0 на 2 подсети, одну из которых использовать со стороны провайдера, но для того, чтобы знать, возможно ли это нужно анализировать вашу адресацию.
Второй вариант - договориться с провайдером о заведении между вами еще одной подсети, добавить еще один адрес на роутер не проблема
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 08 янв 2008, 07:20

По сути для этой сети есть два "провайдера" - один чисто Интернет-провайдер ( которого собрались поменять ), он просто предоставляет прокси-сервер ( доменное имя и порт - вот они и поменяются ) плюс фильтрацию контента ( веб ) и т.п. Его смена никак не сказывается на роутере, куда физически воткнут кабель ( аплинк ) - это другой провайдер, корп. сети. Он предоставляет корпоративный ДНС, доступ к корпоративной же почте и пр. Его мало о чем можно попросить, да и не будет он, я думаю, блокировать трафик на своем роутере на основе адресов клиентов ( можно попросить добавить некоторые порты ).

Как вариант, возможно, частично желаемого эффекта получится добиться использованием VLAN'ов. Собственно, в основном хочется иметь возможность заблокировать доступ пользователям ( по возможности, не всем ) напрямую к прокси-серверу провайдера - чтобы они могли ходить в Интернет только через локальный прокси.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 08 янв 2008, 17:03

Андрей Тр. aka RH писал(а):Собственно, в основном хочется иметь возможность заблокировать доступ пользователям ( по возможности, не всем ) напрямую к прокси-серверу провайдера - чтобы они могли ходить в Интернет только через локальный прокси.


А можно попросить провайдера корпоративной сети сделать для вашего порта на роутере прозрачный прокси с перенаправлением пакетов для ваш прокси-сервер? Если нет, тогда остается только вариант с установкой своего роутера и разделением сетей
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Re: Нужен совет по фаерволу

Сообщение Владимир Горяев » 09 янв 2008, 11:40

Андрей Тр. aka RH
Варианты с железками типа, про кот я говорил:
1. можно сквид вынести в дмз, или вообще оставить в своей сети, только с др адресом и дать доступ вовне только ему, а остальным через него.


2. Стало : ЛВС, днс/дхцп --- NIC1- фаервол, сквид - NIC2

сетке между фаервол, сквид можно дать любой адрес хоть из диапазона 192,168 (не помню как по-научному называется, короче ето внутр маршрут и он не влияет на маршр между большими сетками). Только фаерволу сказать что дефултовый роутер у него сквид, сквиду сказать, что дефултовый рутер у него гейт прова и сказать ему (сквиду), что сетка 10.x.y. доступна с внешнего адреса файрвола.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Сергей.М. » 10 янв 2008, 07:00

Или я что то не понял или Вы все усложняете. Ну меняется провайдер и фиг с ним. На внутреннем интерфесе сети оставляете свои адреса 10.x.z.0 а на внешний вешаете адреса диапозона провайдера. А дальше как Вам нравится. Хотите используйте НАТ, хотите выпускайте ваших пользователей в интернет через прокси сервер. Возможно потребуется совмещение этих технологий (НАТ + прокси) если у Вас внутри есть сервера к которым нужен доступ с Интернета или им нужен доступ в Интернет по протоколам которые не потдерживаются Вашим прокси сервером.
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Андрей Тр. aka RH » 10 янв 2008, 17:15

Сергей.М. писал(а):Или я что то не понял или Вы все усложняете. Ну меняется провайдер и фиг с ним. На внутреннем интерфесе сети оставляете свои адреса 10.x.z.0 а на внешний вешаете адреса диапозона провайдера.

Наверное, Вы все же что-то не поняли. Я уже объяснял, что порт в маршрутизаторе провайдера для нашей сети и так имеет адрес 10.x.z.1 И смена Интернет-провайдера на это никак не влияет. И поменять этот адрес на том порту я не могу. Единственное, что я могу менять - это то, что потом в него втыкается. А нежелание строить свой НАТ заявлялось в моем первоначальном посте. НАТ и так уже работает во всей корпоративной сети ( отсюда 10.x.z.0 ).

сквид .. оставить в своей сети, только с др адресом и дать доступ вовне только ему, а остальным через него.

Во, чего-то подобное .. и в голову приходит примерно как дальше описано в п.2 Правда, я такого на серверах никогда не затевал, поэтому сперва и изучаю вопрос, так сказать. А какой адрес тогда ставить гейтом у клиентов ? которые остаются в ЛВС по левую сторону от NIC1
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Есть прекрасная штука для этого...

Сообщение puny » 10 янв 2008, 19:15

Могу порекомендовать очень прекрасную штучку. И железяку покупать не надо и железо каке-нибудь помоечное пристоите в работу.
вот ссылка: http://m0n0.ch/wall/.

Прелести данной штуки переоценить трудно. Построена на ядре miniBSD.
Грузиться может с сидюка или с флэшки. Из железа нужна только какая-нибудь помоечная материнка, которую руки не дошли выбросить. Результат - получаете вполне неплохой файрвол с веб-управлением.
puny
 
Сообщения: 54
Зарегистрирован: 18 янв 2005, 12:40

думаю единственный способ...

Сообщение Андрей Старков » 10 янв 2008, 19:20

это попросить "провайдера" чтобы на "вашем" порту маршрутизатора настроил ACL - всем можно во всю корпоративную сеть, а в интернет (наружу) только одному IP. Этот IP присваиваете серверу. на который ставите например фряху и на нее NetAMS - настраиваете в нем эккаунты и вперед - считаете трафик. ну и у всех настраиваете прокси.
другой вариант - если провайдер один из рекомендованных и вы у него все-таки корпоративный клиент - заменить на одном из своих портов номер сети - вообще никакой проблемы, какая им разница - ну был 10.x.y.z сделает 10.a.b.c - тем более в этом случае нужен адрес с маской /30 - всегда можно изыскать. ну и последнее :-) в своей сети тоже можно поменять адресацию - глаза боятся - руки делают, главное план грамотный составить как и в какой последовательности это делать
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Сообщение Владимир Горяев » 11 янв 2008, 15:38

Андрей Тр. aka RH писал(а):А какой адрес тогда ставить гейтом у клиентов ? которые остаются в ЛВС по левую сторону от NIC1
Такой же как и раньше, т.е. адрес NIC1.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Boris Girsch » 24 янв 2008, 11:13

если я все правильно понял то тебе нужен фильтрующий бридж
НоуВелл и нетварь сасед адназначна
Boris Girsch
 
Сообщения: 29
Зарегистрирован: 29 июн 2007, 18:39

Сообщение Иван Левшин aka Ivan L. » 24 янв 2008, 11:29

Boris Girsch писал(а):фильтрующий бридж

Читать документацию и вникать. Дабы не нести бред в будущем.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Boris Girsch » 24 янв 2008, 13:24

Иван Левшин aka Ivan L. писал(а):
Boris Girsch писал(а):фильтрующий бридж

Читать документацию и вникать. Дабы не нести бред в будущем.


о вторую страницу с утра не углядел

документацию ? :roll:
НоуВелл и нетварь сасед адназначна
Boris Girsch
 
Сообщения: 29
Зарегистрирован: 29 июн 2007, 18:39

Сообщение v13 » 24 янв 2008, 18:01

Иван Левшин aka Ivan L. писал(а):
Boris Girsch писал(а):фильтрующий бридж

Читать документацию и вникать. Дабы не нести бред в будущем.


Гы. И в чем здесь бред ? Один из вариантов.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1