Окт 16 2009

Vyatta. Работаем с firewall.

Firewall у vyatta организован довольно интересно. Для каждого интерфейса можно задать три вида правил.
Эти правила таких видов:
in — фильтр входящего трафика
out — фильтр исходящего трафика
и local — это обращения к самому серверу.

При проектировании файерволла я всегда начинаю с фильтрации обращений к самому серверу. То есть, по просту отсекаю все обращения на которые не следует отвечать серверу. Поэтому для входящего трафика из мира сделаем фильтр, который позволит подключаться к серверу с адреса 89.252.34.110 по ssh и входящие ответы от 53 порта от DNS, ну а поскольку local — файервол закрыт по умолчанию, то команды настройки будут так:
В первую очередь переходим в режим настройки

configure


и теперь создаем правила файерволла:
открываем вход на ssh от адреса 89.252.34.110:

set firewall name IN-ME rule 1 action accept
set firewall name IN-ME rule 1 protocol tcp
set firewall name IN-ME rule 1 source address 89.252.34.110
set firewall name IN-ME rule 1 destination port 22

и теперь второе правило, отвечающее за вход пакетов от DNS:

set firewall name IN-ME rule 2 action accept
set firewall name IN-ME rule 2 protocol udp
set firewall name IN-ME rule 2 source port 53

И теперь делаем:

commit

Сам firewall создан, осталось приписать его к интерфейсу:

set interfaces ethernet eth1 firewall local name IN-ME

и опять:

commit

Обращения к самому серверу зафильтровали, остается разобраться с фильтрами транзитных пакетов, за них отвечают правила in и out.
Firewall в vyatta закрытый по умолчанию
Мы зафильтруем исходящий трафик на smtp от нашей локальной сети, оставим только возможность отправлять почту на наш smtp сервер(89.252.34.107), разрешим соединятся на 80, 443, 21 порт. То есть оставим возможность работать с наиболее используемыми сервисами в интернет. остальное все отключаем.
Первое правило разрешает отправлять пакеты на 25-й порт на сервер 89.252.34.107:

set firewall name NET-OUT rule 1 action accept
set firewall name NET-OUT rule 1 protocol tcp
set firewall name NET-OUT rule 1 destination address 89.252.34.107
set firewall name NET-OUT rule 1 destination port 25

Теперь открываем доступ к http серверам на порт 80, правила будут такие:

set firewall name NET-OUT rule 2 action accept
set firewall name NET-OUT rule 2 protocol tcp
set firewall name NET-OUT rule 2 destination port 80

Аналогичным образом делаем на 443 и 21 порты:

set firewall name NET-OUT rule 3 action accept
set firewall name NET-OUT rule 3 protocol tcp
set firewall name NET-OUT rule 3 destination port 21,443

только тут как видите, мы перечислили интересующие нас порты через запятую.
Теперь применим этот файервол к интерфейсу:

set interfaces ethernet eth1 firewall out name NET-OUT

На основе этих примеров вполне можно создать работоспособные конфигурации файерволов.
А для того, что бы из закрытого по умолчанию файервола сделать открытый достаточно сделать правило:

set firewall name NET-OUT rule 1024 action accept
set firewall name NET-OUT rule 1024 protocol all
set firewall name NET-OUT rule 1024 source address 0.0.0.0/0
set firewall name NET-OUT rule 1024 destination address 0.0.0.0/0

и изменить все правила, так что бы теперь запрещать все не нужное, а не разрешать все нужное, как было необходимо в закрытом по умолчанию файерволе.

Осталось только заметить, что у vyatta, есть в firewall понятие трафик инспектор, это анализатор транзитного трафика, который позволяет выявлять угрозы и атаки. О нем я расскажу после того, как сам детально разберусь.

Добавить в закладки:

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru
  • By tmeits, 11.11.2009 @ 18:49

    Создал правило set firewall name IN-ME отвечающее за вход пакетов от DNS.
    Другое имя set firewall name IN-ME-HOME открываеющее вход на ssh с внешнего интерфейса eth0. Удалось прописать set interfaces ethernet eth1 firewall local name ¨IN-ME IN-ME-HOME¨. Проверка показала работатет первое правило. Вернулся к предложенному — одно имя и под ним правила.

  • By Plastilin, 04.07.2010 @ 21:57

    Это Вы закрыли изнутри, а как закрыть вовнутрь?

  • By Plastilin, 07.07.2010 @ 16:35

    Хм… Очень странно… Открываю для ФТП 20 и 21 порты, а Filezilla не может получить список каталогов…. А у Вас открыт вообще только 21 управляющий порт… Как в такой кконфигурации может работать ФТП?

  • By hilik, 07.07.2010 @ 18:05

    Измените режим работы ftp клиента

Other Links to this Post


Украинская Баннерная Сеть