Нужен совет по фаерволу

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Нужен совет по фаерволу

Сообщение Андрей Тр. aka RH » 02 янв 2008, 18:34

С фаерволами в корп. сетях пока работать не доводилось, а тут привалило щастье - у клиента меняется провайдер, ну и по ряду причин встал вопрос об установке железки с двумя сетевыми для фильтрации трафика наружу ( как я понимаю, такие еще называют edge или inline firewall ) вместо имеющегося простого прокси сервера на сквиде.

При этом нет большого желания делать НАТ, хочется всю адресацию оставить как есть ( имеем IP диапазон из 10.x.y.z ), причём, если такое возможно, настроить это дело так, чтобы в крайнем случае - при смерти этой железки - была бы возможность всех клиентов временно воткнуть непосредственно в гейт к провайдеру, в обход локального прокси, ну и фаера при этом тоже ( разве что с изменением гейта в дхцп сервере ? ).

Короче, было : ЛВС, днс/дхцп, сквид --- гейт ( роутер ) провайдера
Стало : ЛВС, днс/дхцп --- NIC1- фаервол, сквид - NIC2 --- гейт ( роутер ) провайдера

Насколько я понимаю, фаер делаем на iptables ( их вроде можно настроить даже не вручную, а одной из имеющихся тулз ). Как мне кажется, набор правил будет достаточно несложный, хочется порезать весь р2р трафик и оставить преимущественно http и т.п. Вопрос в том, как именно поступить с адресацией на NIC1 и NIC2 и что придётся менять на клиентах.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 02 янв 2008, 19:35

Андрей, если речь идет именно о железке - категорически рекомендую присмотреться к Astaro Security Gateway. На его софтверной начинке базировался NSM - мне оно очень понравилось.
Ну или нечто подобное искать.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 03 янв 2008, 16:57

Иван, пока что речь идёт просто о сервере SLES10 ( скорее всего - OES2 ) с двумя сетевыми. Сеть не такая уж большая, чтобы под это дело покупать специальную железку, да и трафик наружу сравнительно невелик.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 03 янв 2008, 20:10

Под небольшую сеть совершенно нет необходимости приобретать SLES10 (тем более - OES2) - если, конечно, нужен только файрволл. Можно обойтись решением на базе любого фрюникса.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 04 янв 2008, 06:17

Иван, вышеупомянутый "имеющийся простой прокси-сервер" в данный момент есть OES/SLES9, который в ближайшее время будет заменен на OES2/SLES10. К вопросу о фаере это отношения, практически, не имеет - речь не идет ни про приобретение софта, ни нового железа.

Мой вопрос, скорее, теоретический, про TCPIP вообще - какие у меня есть варианты в данном случае с двумя сетевыми. Придется ли мне заводить новые адреса для сетки на NIC1, какие правила писать для iptables ( хотя бы в общих чертах ) и т.д.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Владимир Горяев » 04 янв 2008, 12:57

Если речь чисто о железяке. Недавно имел дело с длинком (дефендед какой-то... а DFL-210). Так вот, для неогроменной сети самое то. Имеет 3 ифейса - внутренний, ДМЗ, и внешний. Стоит ерунду, около 200 зеленых. Симпотно рулится через ВЕБ.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Андрей Тр. aka RH » 04 янв 2008, 15:50

Дефендед посмотрим .. который Нетдефенд. DFL-260 так вроде получше, хотя не знаю цену на него. В принципе, за такую цену можно купить и железку, чем морочить себе голову с iptables на сервере. Вопрос, правда, все так и остается - этот девайс будет роутером, и адреса на обеих сетевых могут быть из моего теперешнего диапазона 10.x.y.z, и оно все будет роутить с одного на другой .. или как ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение skoltogyan » 04 янв 2008, 16:36

мне трудно понять вопрос на сленге : ) поэтому напишу, как понял
скорее всего Вам прийдется только убрать из настроек броузеров информацию о проксе-сервре (будут ходить без прокси Вашей или через прокси-сервер провайдера.
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Иван Левшин aka Ivan L. » 05 янв 2008, 01:11

Андрей Тр. aka RH писал(а):Дефендед посмотрим .. который Нетдефенд. DFL-260 так вроде получше, хотя не знаю цену на него. В принципе, за такую цену можно купить и железку, чем морочить себе голову с iptables на сервере. Вопрос, правда, все так и остается - этот девайс будет роутером, и адреса на обеих сетевых могут быть из моего теперешнего диапазона 10.x.y.z, и оно все будет роутить с одного на другой .. или как ?

Андрей, это нормальный рутер - любой appliance есть некая железка (типа мелкого сервера) и ОС, вшитую в эту железку. Маршрутизацию между приватными диапазонами оно должно делать абсолютно спокойно.
Единственное "но" - никаких особых тонкостей в настройке компонентов железки не получишь. Как правило, все управляется через браузер и доступ через консоль настоятельно не рекомендуется (хотя часто и возможен). В общем, если надо по быстрому и малой кровью все настроить - самое оно.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 05 янв 2008, 12:04

Согласен, вопрос получился несколько расплывчатый :) Попробуем уточнить, разбив его на подвопросы. Для начала хочу уточнить собственно про роутинг - как сказал Иван, между приватными диапазонами ?

В данный момент вся внутренняя сеть построена на сетке 10.x.y.0 ( точную адресацию сейчас не помню, да и не в этом, наверное, суть ), с маской 255.255.248.0 Gateway'ем для этой сетки является порт в роутере провайдера, с адресом 10.x.y.1

Один из вопросов был в том, что ежели мой сервер с двумя сетевыми интерфейсами NIC1 и NIC2 помещается между внутренней сетью и роутером провайдера, то какие адреса должны быть назначены этим самым сетевым интерфейсам ( вроде сленга удалось избежать ). И какой тогда указывать адрес gateway ( шлюза ) на клиентах ? Вообще, если серверу предстоить маршрутизировать трафик "между приватными диапазонами", означает ли это, что в моем случае NIC1 и NIC2 должны принадлежать разным таким диапазонам .. кхм

Собственно маршрутизацией мне доводилось заниматься .. даже уж и не помню, когда это было. :?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 05 янв 2008, 21:11

Андрей Тр. aka RH писал(а):В данный момент вся внутренняя сеть построена на сетке 10.x.y.0 ( точную адресацию сейчас не помню, да и не в этом, наверное, суть ), с маской 255.255.248.0 Gateway'ем для этой сетки является порт в роутере провайдера, с адресом 10.x.y.1

Один из вопросов был в том, что ежели мой сервер с двумя сетевыми интерфейсами NIC1 и NIC2 помещается между внутренней сетью и роутером провайдера, то какие адреса должны быть назначены этим самым сетевым интерфейсам ( вроде сленга удалось избежать ). И какой тогда указывать адрес gateway ( шлюза ) на клиентах ? Вообще, если серверу предстоить маршрутизировать трафик "между приватными диапазонами", означает ли это, что в моем случае NIC1 и NIC2 должны принадлежать разным таким диапазонам .. кхм


Собственно ситуация стандартная, одной сетью не получится, придется разбивать на 2 сети, внутреннюю и внешнюю, например (меняем только свои данные, для провайдера все изменения незаметны):

внутрення сеть: 192.168.х.0/24
NIC1 (смотрит во внутреннюю сеть): 192.168.х.1
на клиентах адрес gateway: 192.168.х.1
NIC2 (смотрит на провайдера): 10.x.y.2
на сервере default gateway: 10.x.y.1

В качестве надстройки над iptables я бы посоветовал shorewall, по крайней мере после долгих лет борьбы с SuSEfirewall я перешел именно на него :), хотя это на любителя
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 06 янв 2008, 08:45

Walery писал(а):одной сетью не получится, придется разбивать на 2 сети, внутреннюю и внешнюю, .. меняем только свои данные

Вот и я так понял - хотя всё, что мне в данном случае хочется - фильтровать трафик, идущий к провайдеру и от него. Ну хорошо, в этой сети сравнительно немного хостов со статическими адресами - я думаю, наберется штук 40-50. Среди них, конечно, есть и серверы - менять адреса серверов без острой на то необходимости мне совсем неохота. А если в сети сотни или больше таких устройств .. значит, установка фаервола всегда влечет подобные последствия ?

Плюс в этом случае сервер с фаерволом становится single point of failure. При теперешнем варианте, когда на нем крутится всего лишь прокси, в случае чего клиентов временно можно перевести на прокси провайдера ( что не представляет труда ), или поднять сквид на каком-то другом сервере. Если же я, по сути, превращаю сервер в роутер, то без него выхода наружу уже просто не будет.

Кстати, про shorewall я уже читал ( как один из вариантов ). Есть ещё вот такой CD - IP Filters for Linux and NetWare - a straight forward approach - но платить $125 пока что жаба давит.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Юрий Беляков » 06 янв 2008, 12:41

Андрей, если пользователей не очень много, посмотри Cisco ASA 5505.

http://www.cisco.com/en/US/products/ps6 ... rison.html

По ценам достаточно либеральная железка.
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Андрей Тр. aka RH » 06 янв 2008, 18:42

Спасибо за рекомендации по железкам, на данный момент вопрос стоит, скорее, не "как сделать", а "делать ли вообще" - по упомянутым мной выше причинам. И какими способами можно избежать переназначения адресов для всей "внутренней" сети.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение skoltogyan » 06 янв 2008, 20:12

Андрей Тр. aka RH писал(а):
Walery писал(а):\.
.....
Кстати, про shorewall я уже читал ( как один из вариантов ). Есть ещё вот такой CD - IP Filters for Linux and NetWare - a straight forward approach - но платить $125 пока что жаба давит.


Как по мне - в курсах и подобных им книгах учат КАК сделать то или иное действие.
Но не рассказывается когда и как эти дейтсвия применять.

Образно говоря - учат как поворачивать автомобиль, но не учат как на нем ехать.. :)

ЧТо-бы Вы сейчас САМОСТОЯТЕЛЬНО не предприняли на основании книжки, дискиа или совета - будет плохо. Просто пПолучите опыт и потом обязательно переделайте, когда разберетесь : ) - что-же В на самом деле хотите построить
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron