Konfiguracja Firewall Iptables

[JaG]

Witam

 

przyszedł czas że muszę dokonać specyficznej konfiguracji iptables i ogólnie całego serwera

do tej pory korzystałem z firewalla nshield ale obawiam się że nie podoła on moim obecnym wymaganiom

 

pokrótce mam serwer z dwoma kartami sieciowymi, zarządzalnego switcha, oraz 3 zewnętrzne adres IP i potrzebuje wykonać następującą rzecz

 

do eth1 podpiąć zarządzalnego switcha który będzie miał skonfigurowane dwa vlany

vlany te nie mają się widzieć i mają mieć różne uprawnienia

 

vlan1 - adres 192.168.1.0

dostęp do wszystkich usług serwera(smb,dhcp, itp) oraz maskarada

komputery które będą się łączyć z internetem mają być widoczne pod zewnętrznym IPnr2

ma też być weryfikacja MAC (najlepiej mac + ip, chodzi mi o to że dany mac ma się legitymować danym ip, żeby był uznany za poprawny komputer)

 

vlan2 - adres 192.168.2.0

dostęp bez pośredni do serwera jedynie do dhcp i dns ( to co potrzebne działał internet w tym vlan) oraz maskarada

komputery które będą się łączyć z internetem mają być widoczne pod zewnętrznym IPnr3

i podobnie jak wyżej weryfikacja MAC

 

jeśli chodzi o interfejs eth0 to jest on moim oknem na świat i będą do niego przypisane wszystkie 3 zewnętrzne adres

 

jak pisałem wcześniej IP2 i 3 mają być wyjściem na świat dla sieci lokalnych

ale poprzez nie nie ma być żadnego dostępu do serwera ani www,ftp. po prostu "widmo" w sieci

 

natomiast IP1 ma być do obsługi www,ftp,poczty itp usług serwerowych, oczywiście wszystko co przez to ip będzie udostępniane ma być dostępne z sieci lokalnych

 

będę wdzięczny za pomoc w rozwiązaniu tej zawiłej konfiguracji jak i czym to ugryźć i od czego w ogóle zacząć najlepiej? no i oczywiście czy możliwe jest to do wykonania ?

 

Pozdrawiam

JaG

 

 

[qmic]

Pytanie nr 1. czy masz switche karty/adaptery sieciowe które obsługują tagowane vlany? Jeśli chcesz mieć więcej niż 1 vlan to tylko to wchodzi w grę. Karty sieciowe za 30zł i adaptery wbudowane w komputer sobie z tym nie poradzą. Switch z taką obsługą też od 3k się zaczynają.

 

Prościej Ci by było chyba wdrożyć tam pppoe albo coś w tym stylu.

 

 

 

 

 

[LenoX]

Witam,

 

(ja nie jestem fachowcem od firewalla, ale dokladam co jakis czas nowe linijki do mojego routera domowego.)

 

1. mozesz sie sporo poduczyc dzieki ttp://www.dd-wrt.com/wiki/index.php/Tutorials

 

2. odnosnie blokowania portow na wyjsciu to polecam cos na kształt:

iptables -I FORWARD 4 -s 192.168.1.0/24 -p tcp -m multiport --dport 110,443,53,21,993,2049,25,995,22,80,8074 -j ACCEPT
iptables -I FORWARD 5 -s 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 6 -s 192.168.1.0/24 -j DROP

numerki 4-6 pokazuja tylko kolejnosc co ma byc po czym

 

dla adresow 192.168.2.0 /24 odpowiednio ogranicz porty.

Czy Twoi userzy mogą odbierac i wysylac poczte? :-)

od Ciebie zalezy czy pozwolisz na GG czy Skypa :-)

czy masz stale IP?

a czy serwera poczty nie bedziesz robil, az sie prosi...

 

Taka uwaga, jak chcesz pomocy to pomóż "nam" i ponumeruj zagadnienia

 

[JaG]

Witam

 

a więc

 

Pytanie nr 1. czy masz switche karty/adaptery sieciowe które obsługują tagowane vlany? Jeśli chcesz mieć więcej niż 1 vlan to tylko to wchodzi w grę. Karty sieciowe za 30zł i adaptery wbudowane w komputer sobie z tym nie poradzą. Switch z taką obsługą też od 3k się zaczynają.

 

Prościej Ci by było chyba wdrożyć tam pppoe albo coś w tym stylu.

 

serwer to IBM X330, był kiedyś dość zaawansowanym serwerem wiec tagowanie chyba obsługuje, switche to Cisco 3524 model WS-C3524-XL-EN (http://www.allegro.pl/item714757972_promocja_w_cisco_ws_c3524_xl_en_3524_3524xl_c3524.html)

 

sprzęt może nie nowy, ale raczej wysokiej klasy tak więc o techniczne możliwości raczej się nie martwię

 

 

 

Witam,

 

(ja nie jestem fachowcem od firewalla, ale dokladam co jakis czas nowe linijki do mojego routera domowego.)

 

1. mozesz sie sporo poduczyc dzieki ttp://www.dd-wrt.com/wiki/index.php/Tutorials

 

2. odnosnie blokowania portow na wyjsciu to polecam cos na kształt:

iptables -I FORWARD 4 -s 192.168.1.0/24 -p tcp -m multiport --dport 110,443,53,21,993,2049,25,995,22,80,8074 -j ACCEPT
iptables -I FORWARD 5 -s 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 6 -s 192.168.1.0/24 -j DROP

numerki 4-6 pokazuja tylko kolejnosc co ma byc po czym

 

dla adresow 192.168.2.0 /24 odpowiednio ogranicz porty.

Czy Twoi userzy mogą odbierac i wysylac poczte? :-)

od Ciebie zalezy czy pozwolisz na GG czy Skypa :-)

czy masz stale IP?

a czy serwera poczty nie bedziesz robil, az sie prosi...

 

Taka uwaga, jak chcesz pomocy to pomóż "nam" i ponumeruj zagadnienia

 

 

jeśli chodzi o moich userów to sprawa wygląda tak

 

1. użytkownicy vlan1

mają mieć dostęp pełny do internetu i do zasobów serwera, ogólnie taka zaufana sieć

 

2. użytkownicy vlan2

mają mieć pełny dostęp do internetu ( nie ograniczam ich w tym zakresie w ogóle), natomiast do serwera mają mieć dostęp tylko do tych usług które są im potrzebne do działania internetu mam na myśli pobierania adresu DHCP i DNS oraz do usług zewnętrznych serwera takich jak www,poczta,ftp itp. Po prostu do tego co będzie ogólnie dostępne

 

jako że mam stałe IP to chce podzielić ruch, na zasadzie takiej że wszystko co wyjdzie z vlan1 ma pojawić się pod adresem IP2, wszystko co wyjdzie z vlan2 ma się pojawić pod adresem IP3, chodzi mi o to że gdy np. z vlan1 połączę się z innym serwerem po ssh to w logach będzie że połączenie nastąpiło z IP2 a nie z IP1 które będzie podstawowym adresem serwera

 

3. IP1 ma być przeznaczone wyłącznie dla samego serwera, mam na myśli to

że jeśli ktoś gdzieś na świecie wpisze w przeglądarce IP1 to pojawi się strona główna serwera (jeśli wpisze IP2 lub 3 ma dostać informacje że pod tym adresem nic nie ma) to samo tyczy się ftp,poczty. dodatkowo jeśli zaloguje się na serwer i z niego połączę się po ssh z innym serwerem to w logach będzie widoczne IP1

 

Na serwerze będą uruchomione takie usługi jak WWW,Poczta,FTP,DNS jeśli chodzi o świat

natomiast dla sieci wewnętrznej będą usługi typu DHCP,DNS,SMB (logowanie domenowe), SNMP, itp.

 

 

To chyba na razie tyle, mam nadzieje że opisuje jasno o co mi chodzi i co chce osiągnąć, jeśli coś nie jasno opisałem to proszę o uwagę w tej kwestii, postaram się opisać jaśniej

 

Pzd

JaG

[qmic]

Ok ,to już wszystko jasne, switch obsługuje vlany z tego co doczytałem tagowane, pojawia się kwestia czy obsługują je karty sieciowe. Wtedy mógłbyś robić tyle vlanów ile będziesz chciał. Tagowanych vlanów może być dużo, nietagowany może być jeden.

Ew. zrobiłbym tak:

normalny ruch (jawny) puściłbym po lanie zwykłym (czyl nie vlanie)

Ruch przeznaczony do usług serwera (niejawny) itp odbywałby się w nietagowanym vlanie (większe prawdopodobieństwo że karty sieciowe które masz w komputerach będą go obsługiwały).

 

Będziesz miał dwie podsieci tak więc łatwo Ci będzie to routować na odpowiednie interfejsy,

Do tego wszystkiego odpowiednia konfiguracja firewalla na serwerze i po wszystkim.

 

 

 

 

[JaG]

Ok ,to już wszystko jasne, switch obsługuje vlany z tego co doczytałem tagowane, pojawia się kwestia czy obsługują je karty sieciowe. Wtedy mógłbyś robić tyle vlanów ile będziesz chciał. Tagowanych vlanów może być dużo, nietagowany może być jeden.

Ew. zrobiłbym tak:

normalny ruch (jawny) puściłbym po lanie zwykłym (czyl nie vlanie)

Ruch przeznaczony do usług serwera (niejawny) itp odbywałby się w nietagowanym vlanie (większe prawdopodobieństwo że karty sieciowe które masz w komputerach będą go obsługiwały).

 

Będziesz miał dwie podsieci tak więc łatwo Ci będzie to routować na odpowiednie interfejsy,

 

mam dwa pytania jeszcze

 

1. Jak sprawdzić czy karty w serwerze obsługują tagowanie ? czy jeśli uda mi się stworzyć interfejs vlanowy to oznacza że obsługują? czy to zawsze mogę zrobić ?

2. Tagowanie ma by obsługiwane tylko przez karty w serwerze i switch czy też karty pozostałych komputerów w sieci też muszą obsługiwać tagowanie ?

 

Do tego wszystkiego odpowiednia konfiguracja firewalla na serwerze i po wszystkim.

 

no właśnie i z tym też mam problem jak taka odpowiednia konfiguracja powinna wyglądać gdzie mogę znaleźć dobre przykłady ? a może ktoś ma u Siebie podobną konfiguracje i użyczy mi swoich plików konfiguracyjnych ?

[qmic]

mam dwa pytania jeszcze

 

1. Jak sprawdzić czy karty w serwerze obsługują tagowanie ? czy jeśli uda mi się stworzyć interfejs vlanowy to oznacza że obsługują? czy to zawsze mogę zrobić ?

2. Tagowanie ma by obsługiwane tylko przez karty w serwerze i switch czy też karty pozostałych komputerów w sieci też muszą obsługiwać tagowanie ?

 

no właśnie i z tym też mam problem jak taka odpowiednia konfiguracja powinna wyglądać gdzie mogę znaleźć dobre przykłady ? a może ktoś ma u Siebie podobną konfiguracje i użyczy mi swoich plików konfiguracyjnych ?

 

Ad1. Sprawdź czy obsługują standard 802.1Q

Ad2. Tagowanie musi być obsługiwane przez wszystkie urządzenia w sieci.

Ad3. Spróbuj fwbuilder - naprawdę łatwo się tego używa (to gui do iptables) i ma bardzo duże możliwości.

 

[JaG]

Ad1. Sprawdź czy obsługują standard 802.1Q

Ad2. Tagowanie musi być obsługiwane przez wszystkie urządzenia w sieci.

Ad3. Spróbuj fwbuilder - naprawdę łatwo się tego używa (to gui do iptables) i ma bardzo duże możliwości.

 

odp do Ad1.

 

Jak to najłatwiej/najpewniej sprawdzić ?? niestety google i strona producenta w tym zakresie nie rozwiązuje moich wątpliwości

 

odp do Ad2.

 

czemu przez wszystkie ?? czy switch nie załatwi sprawy ?

 

odp do Ad3.

 

widziałem ten program ale jakoś nie mogę go pojąć przynajmniej w wersji windowsowej

[qmic]

AD1. W takim wypadku należy spróbować ustawić tagowany VLAN na dwóch komptureach i sprawdzić czy jest ok.

AD2. Muszą wszystkie, ponieważ switch nie rusza pakietów tylko je transportuje (co prawda na tym modelu powinno się dać zbindować pewne rzeczy - np. połączyć port nietagowany z tagowanym, ale trzeba sprawdzić jego możliwości) .

AD3. Posiedź nad nim chwilę, na pewno szybciej się go nauczysz niż iptables

Trzymaj tutorial obrazkowy:

http://www.fwbuilder.org/slideshows/tutorial_3/slide_1.html

[JaG]

Witam ponownie,

 

jako że wciąż jestem w trakcie konfiguracji serwera napotykam różne problemy i jak na razie nie mogę sobie poradzić Maskaradą po mojemu

szukałem w google ale bez skutku

czy ktoś wie

jak powinny wyglądać poniższe regułki przy założeniu że ruch z vlan1(eth1.2) wychodzi przez ip1(eth0:1) a vlan2(eth1.3) wychodzi przez ip2(eth0:2)

 

 $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ip1
  $IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source=192.168.1.1

  $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ip2
  $IPTABLES -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source=192.168.2.1

 

z góry dzięki za pomoc

 

[mm2006]

AD2. Muszą wszystkie, ponieważ switch nie rusza pakietów tylko je transportuje

 

Po pierwsze, przez switcha nie przechodzą pakiety tylko ramki, mylisz warstwy. Po drugie bzdurą jest to że switch nie rusza ramek. Jeżeli porty są ustawione w trybie access znacznik 802.1Q lub ISL jest usuwany z ramki przed wysłaniem ramki na odpowiedni port. Co z tego wynika, totalną bzdurą jest to że wszystkie urządzenia muszą obsługiwać VLANy. Muszą je obsługiwać switche na których ustawia się trunki oraz routery na których trzeba stworzyc subinterfejsy jeśli chcemy mieć ruting między VLANami.