firewall1

[ Pobierz całość w formacie PDF ]

sieciowych, dzięki temu unika się redundantnego firewalla na linii Internet-Intranet. Przy projektowaniu
firewalla przyjęliśmy pewne założenia dotyczące serwerów usług sieciowych. I tak:
Sewer WWW.
Zakładamy że serwerem WWW jest apache obsługujący ruch HTTP i HTTPS. Dodatkowo zakładamy
możliwość otwierania socketów do serwera przez applety, do tego celu wydzielimy zakres portów.
Serwer FTP
Serwer FTP jest standardowym serwerem, zakładamy że nie korzysta z opcji szyfrowania transmisji (FTP
over SSL). Z tym serwerem związany jest pewien problem. Jak zostało wspomniane wcześniej obsługa
Plik: firewall Wersja: 0.1-82 z dnia 13.06.2002 Stron: 41 Długość: 307 kB
Copyright � 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż. Bogusław Juza
30
Piotr Kopyt, Michał Kułakowski, Krzysztof Niemiec
ruchu FTP poprzez firewall sprawia kłopoty przy trybie aktywnym FTP. Rozwiązania tego problemu
przedstawiono w punkcie 2.4 jednak niektóre z nich mogą nie działać w połączeniu z maskowaniem IP,
dlatego warto tutaj rozpatrzyć możliwość postawienia serwera FTP na publicznym adresie IP.
Serwer poczty.
Niech demonem pocztowym działającym na serwerze poczty będzie demon korzystający z protokołu SMTP,
dodatkowo zakładamy że na serwerze pocztowym działa usługa POP3.
Serwer NEWS.
Zakładamy że serwerem NEWS jest serwer NNTP.
Dodatkowo zakładamy, że na ruterze działa serwer DNS który obsługuje konwersje nazw na adresy IP
zarówno dla sieci lokalnej, serwerów usług jak i internetu. Serwer ten powinien być skonfigurowany w taki
sposób aby dla sieci publicznej zwracał dla wszystkich nazw serwerów usług adres 140.140.140.14, zaś dla
sieci lokalnej zwracał adresy lokalne. Zastosowanie maskowania IP przynosi dodatkowe korzyści, po
pierwsze za pomocą jednego publicznego adresu IP możemy obsłużyć całą sieć, po drugie struktura
serwerów usług sieciowych jest niewidoczna z zewnątrz dodatkowo taka konfiguracja jest elastyczna istnieje
np. możliwość postawienia kilku maszyn pracujących jako serwery WWW które będą widoczne pod tym
samym adresem.
5.2. Konfiguracja
W tej części przedstawiona zostanie konfiguracja całego systemu. System na którym testowano konfigurację
różnił się od zaproponowanego rozwiązania tym że posiadał tylko 2 interfejsy sieciowe. Wszystkie
przedstawione poniżej polecenia konfiguracyjne odnoszą się do zaproponowanego systemu (z 3 interfejsami
sieciowymi) przy założeniu że system jest identyczny jak ten na którym testowano ustawienia. System na
którym testowano ustawienia to RedHat 6.0 z jądrem (skompilowanym) 2.4.18. Testy odbywały się w sieci
lokalnej DS14.
5.2.1. Kompilacja jądra
Poniżej przedstawiono opcje dotyczące sieci i narzędzi sieciowych które wybrano przy kompilacji jądra
2.4.18 dla systemu (opcje te zapisane są w pliku .config):
#
# Networking options
#
CONFIG_PACKET=y
CONFIG_PACKET_MMAP=y
CONFIG_NETLINK_DEV=y
CONFIG_NETFILTER=y
CONFIG_NETFILTER_DEBUG=y
CONFIG_FILTER=y
CONFIG_UNIX=y
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_ADVANCED_ROUTER=y
CONFIG_IP_MULTIPLE_TABLES=y
Plik: firewall Wersja: 0.1-82 z dnia 13.06.2002 Stron: 41 Długość: 307 kB
Copyright � 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż. Bogusław Juza
31
Piotr Kopyt, Michał Kułakowski, Krzysztof Niemiec
CONFIG_IP_ROUTE_FWMARK=y
CONFIG_IP_ROUTE_NAT=y
CONFIG_IP_ROUTE_MULTIPATH=y
CONFIG_IP_ROUTE_TOS=y
CONFIG_IP_ROUTE_VERBOSE=y
CONFIG_IP_ROUTE_LARGE_TABLES=y
CONFIG_IP_PNP=y
CONFIG_IP_PNP_DHCP=y
CONFIG_IP_PNP_BOOTP=y
CONFIG_IP_PNP_RARP=y
CONFIG_NET_IPIP=y
CONFIG_NET_IPGRE=y
CONFIG_NET_IPGRE_BROADCAST=y
CONFIG_IP_MROUTE=y
CONFIG_IP_PIMSM_V1=y
CONFIG_IP_PIMSM_V2=y
CONFIG_ARPD=y
CONFIG_INET_ECN=y
CONFIG_SYN_COOKIES=y
#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
CONFIG_IP_NF_QUEUE=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_MAC=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_TOS=y
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=y
CONFIG_IP_NF_MATCH_TTL=y
CONFIG_IP_NF_MATCH_TCPMSS=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_UNCLEAN=y
CONFIG_IP_NF_MATCH_OWNER=y
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_TARGET_MIRROR=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_TARGET_REDIRECT=y
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_TOS=y
CONFIG_IP_NF_TARGET_MARK=y
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
CONFIG_IP_NF_TARGET_TCPMSS=y
CONFIG_IPV6=y
W sekcji Ethernet (10 or 100Mbit) należy wybrać opcje które spowodują wkompilowanie w jądro
sterowników dla kart sieciowych (można również wybrać ładowanie sterowników kart sieciowych jako
Plik: firewall Wersja: 0.1-82 z dnia 13.06.2002 Stron: 41 Długość: 307 kB [ Pobierz całość w formacie PDF ]

Menu