Vyatta - konfiguracja Firewalla


(Glodny88) #1

Witam wszystkich,

Mam mały problem z firewallem na opartym na systemie Vyatta. Musze utworzyć firewalla, z dostępem do sieci z zewnątrz i wewnątrz. Kiedy mam czystą konfigurację vyatty jedynie skonfigurowane interfejsy eth0(podłączony na zewnątrz), eth1(Strefa DMZ na której jest uruchomiony serwer IIS z przykładową stroną) oraz eth2(podłączenie do sieci wewnętrznej). Moim zadanie jest utworzenie regułek, które będą przepuszczały dozwolony ruch.

Komputer atakujący ma na zadanie przeszukać sieć pod względem otwartych portów.

Dostęp do serwera DMZ ma być dostępny z zewnątrz jedynie przez protokoły HTTP,HTTPS. Z kolei z sieci wewnętrznej mamy mieć dostęp do komputera przez SSH, ftp, http.

Dostęp do sieci wewnętrzej ma byc dostępny jedynie przez podstawowe protokoły, a ruch z wewnątrz ma być dostępny dowoli(chyba ze zalecacie coś zablokować).

Tak by z grubsza się przedstawiał moje zadanie. Problem jest jednak po stronie konfiguracji firewalla, nie wiem co zrobiłem źle. Nie mam dostępu do serwera www utworzonego w strefie DMZ od strony komputera atakującego.

Jak coś zrobiłem źle to czy możecie mi pomóc wejść na właściwą drogę? :slight_smile:

Na poniższym zdjęciu przedstawiam wam topologie mojej utworzonej sieci.

image_id: 5570

Oraz przykładowa konfiguracja.

image_id: 5571

image_id: 5572

image_id: 5573

image_id: 5574

Jak macie jakieś pytanie to pytać. Jak ktoś nie jest w stanie mi tu pomóc to podajcie jakieś inne miejsce gdzie bym sie mógł udać, wiem mogę na forum vyatty ale nie znam za dobrze angielskiego.


(Woytasmi) #2

Tutaj przydałby się Docent :slight_smile: Wysyłam o niego info na gg.


(Glodny88) #3

ok czekam na niego :wink: Problem nie jest trudny :wink: Napisałem bo tutaj bo ktoś się moze odezwie w temacie tylko ni myślałem że temat aż tak wysoko zajdzie :wink:

Ale bardzo dziękuję za pomoc nawet najmniejszy szeczół pomoże :slight_smile:


(Docent) #4

Do tego celu idealnie nadawałyby się reguły firewalla oparte o strefy, poszukaj przykładów w dokumentacji Vyatty. Robisz trzy strefy (Internet, LAN, DMZ) i następnie określasz, co ma być dozwolone na którym "przepływie" (np. z LAN do DMZ, z Internetu do DMZ itd.). Poza tym chyba nie do końca zrozumiałeś, czym się różnią "in", "out" oraz "local". "in" to jest ruch przychodzący, który przechodzi przez router (ale nie lokalny). "local" to ruch przychodzący do routera (z sieci na lokalny komputer). "out" to ruch wychodzący z dowolnego źródła (sieć wewnętrzna lub localhost).


(Glodny88) #5

W sieci znalazłem takie mały tutorial http://vimeo.com/61067958

Rozumie że chodzi o zone-policy (w filmie od ok 16 minuty)?

Mam jeszcze jedno pytanie odnośnie reguł. W w/w filmie autor tworzy proste reguły i zapisuje je praktycznie w paru linijkach, i się zastanawiam czy nie lepiej utworzyć dla danego protokołu osobnej reguły? Co będzie bardziej praktyczniejsze?


(Docent) #6

W dokumentacji Vyatty jest opisany dokładnie Twój scenariusz, czyli klasyczny przypadek gdzie mamy trzy strefy (Internet, DMZ, LAN). Myślę, że to będzie najlepsze rozwiązanie. Reguły dla danego protokołu - chyba nie bardzo rozumiem? Przejrzyj sobie ten PDF, myślę że to wiele rozjaśni :slight_smile: Jakbyś później miał jeszcze jakieś pytania to daj znać.


(Glodny88) #7

Zacznę może od tych reguł co nie zrozumiałeś :slight_smile: Chodziło mi o utworzenie rule(zasad reguł) przypisanych danemu portowi.

Set firewall name Firewall_wyjscie rule 20 action accept

Set firewall name Firewall_wyjscie rule 20 protocol tcp

Set firewall name Firewall_wyjscie rule 20 source port 80

Set firewall name Firewall_wyjscie rule 20 description HTTP_RUCH

Przez to się zastanawiałem czy jest jakaś różnica od wpisania ww reguł od tej podanej w dokumentacji (podane w jednej "linii"). Doczytałem się ze trzeba tworzyć reguły w odstępach aby móc utworzyć ważniejszą regułę?

Skonfigurowałem wszystko tak jak pisało, i nie wiem gdzie popełniłem błąd (może coś przeoczyłem). Otóż mam możliwość zalogowania się do vyatty przez ssh z sieci zewnętrznej. Co raczej nie jest chyba pożądane? Wiem że jest możliwość zmiany portów itp. ale czy jest to stosowana praktyka np. w jakiś firmach? Czy lepiej pozostawić ten port zablokowany i mieć dostęp do niego tylko w sieci LAN?

Skanując interfejs wejściowy tj. 10.0.0.1 przez program nmap wskazuje ze port jest otwarty, nie wiem co może być przyczyną?

Oto skany z konfiguracji firewalla i stref

image_id: 5623

image_id: 5624

image_id: 5625

image_id: 5626

Jeszcze jedno takie pytanko, przeczytałem na http://www.networld.pl/news/370806_3/Bu ... .cz.1.html na temat wbudowanych regułach zabezpieczających naszego firewalla. Nie wiem czy to zastosować każdą zasadę czy może zostawić to?