poniedziałek, 15 kwietnia 2013

Vyatta firewall, serwer www cz.2

Sama instalacja systemu niewiele daje, mamy co prawda fajną czarną konsolę, ale przydała by się możliwość dostępu do sieci, lub udostępnienie innym naszego serwera www.
W tym celu w naszej maszynie musimy posiadać dwie karty sieciowe jedna WAN (czyli ta do której podpięty jest kabel od dostawcy internetu), LAN (do którego podepniemy np. switch a do niego komputery w naszej sieci).


1) Ustawimy nasze interfejsy (WAN eth0 na dhcp, LAN eth1 na static):

vyatta@router# set interfaces ethernet eth0 address dhcp
[edit]
vyatta@router# set interfaces ethernet eth1 address 192.168.0.1/24
[edit]
vyatta@router# commit 

2) Ustawmy routing (wpisujemy IP bramy od dostawcy):


vyatta@router# set system gateway-address 2.2.2.3
[edit]
vyatta@router# commit

3) Musimy ustanowić NAT (czyli translację adresów, między środowiskiem intranetowym a internetowym):


vyatta@router# set service nat rule 10 type source
[edit]
vyatta@router# set service nat rule 10 source address 192.168.0.0/24
[edit]
vyatta@router# set service nat rule 10 outbound-interface eth0
[edit]
vyatta@router# set service nat rule 10 outside-address address 2.2.2.2
[edit]
vyatta@router# commit

4) Jeżeli w naszej sieci, chcemy postawić serwer www, na którym umieścimy wewnętrzną stronę, lub też jakąś aplikację webową, musimy skonfigurować sieć tak, aby serwer pod 192.168.0.100 był widoczny dla użytkowników, przyjmijmy że będzie to port 80:


vyatta@router# set service nat rule 20 type destination
[edit]
vyatta@router# set service nat rule 20 inbound-interface eth0
[edit]
vyatta@router# set service nat rule 20 destination address 2.2.2.2
[edit]
vyatta@router# set service nat rule 20 protocol tcp
[edit]
vyatta@router# set service nat rule 20 destination port http
[edit]
vyatta@router# set service nat rule 20 inside-address address 192.168.0.100
[edit]
vyatta@router# commit

5) Prosty firewall, który blokuje wszystko poza zapytaniami do www, oraz już nawiązanymi sesjami do sieci:

vyatta@router# set firewall name internet_INBOUND rule 10 action accept
[edit]
vyatta@router# set firewall name internet_INBOUND rule 10 state established enable
[edit]
vyatta@router# set firewall name internet_INBOUND rule 20 action accept
[edit]
vyatta@router# set firewall name internet_INBOUND rule 20 destination port http
[edit]
vyatta@router# set firewall name internet_INBOUND rule 20 destination address 192.168.0.100
[edit]
vyatta@router# set firewall name internet_INBOUND rule 20 protocol tcp
[edit]
vyatta@router# set firewall name internet_INBOUND rule 1024 action drop
[edit]
vyatta@router# set firewall name internet_INBOUND rule 1024 log enable
[edit]
vyatta@router# commit
vyatta@router# set interfaces ethernet eth0 firewall in name internet_INBOUND
[edit]
vyatta@router# commit



Brak komentarzy:

Prześlij komentarz