Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

SNAT

Брандмауэр для сети с DMZ(простая реализация).

Рубрики: Безопасность | Брандмауэр
Метки: | | | | |
Дата: 29/03/2009 11:36:38
Подписаться на комментарии по RSS

Правила брандмауэра.

     На рисунке показана предложенная топология с IP-адресами интерфейсов. Опишем словесно все пра­вила маршрутизации трафика, а потом реализуем их на IPTables:

  • Пакеты, выходящие за пределы локальной сети (то есть ад­ресованные интернет-узлам), должны проходить через интерфейс eth0. Кроме этого, нужно перезаписать адрес отправителя: поскольку используем внутренние адреса, то нужно заменить внутренний адрес отправителя адресом внешнего интерфейса.
  • Ответы на эти пакеты должны быть переданы на интерфейс eth1 (интерфейс внутренней сети), при этом адрес получателя должен быть корректно перезаписан. Так как ответ, полученный от интернет-узла, будет предназначен внешнему интерфейсу, то нуж­но вернуть ответ внутреннему узлу, указав его внутренний IP-адрес.
  • Пакеты из локальной сети, адресованные компьютерам нейтраль­ной зоны, должны быть переданы на интерфейс eth2. Для этих пакетов NAT не нужен, поскольку DMZ-компьютеры также используют внутренние адреса.
  • Пакеты из нейтральной зоны, адресованные компьютерам локаль­ной сети, должны быть переданы на интерфейс eth1. NAT также не нужен.
  • Пакеты DMZ-компьютеров, адресованные интернет-узлам, должны покинуть пределы сети через интерфейс eth0. В этом случае NAT нужен: нужно перезаписать адрес отправителя ад­ресом внешнего интерфейса.
  • Ответы на эти пакеты должны быть отправлены назад, при этом адрес получателя должен быть корректно перезаписан, так как пакет нужно отправить соответствующей машине нейтральной зоны.
  • Входящие запросы на ТСР-соединения (SYN-пакеты) по портам 80 и 443 должны быть переданы Web-серверу (из нейтральной зоны).
  • Входящие запросы на TCP/UDP-соединения по порту 53 должны быть переданы DNS-серверу (из нейтральной зоны).
  • Входящие запросы на ТСР-соединения по порту 25 должны быть переданы почтовому серверу (из нейтральной зоны).

Далее...

Цели правил IPTables.

Рубрики: Безопасность | Брандмауэр
Метки: | | |
Дата: 20/02/2009 09:30:23
Подписаться на комментарии по RSS

Целью правил IPTables называется действие, которое выполняется над пакетом, если его заголовок соответствует совпадению правила. Обычно используются 15 стандар­тных целей. Также можно указать в качестве цели пользовательскую це­почку, которой передается управление. Если ни одно из правил в пользовательской цепочке не совпало, выполнение передается назад в вызывающую цепочку.

     Опция -j используется для задания цели. Стандартные цели пишутся прописными буквами.

Далее...

Общий синтаксис команды IPTables (продолжение).

Рубрики: Безопасность | Брандмауэр
Метки: | | |
Дата: 16/02/2009 09:24:25
Подписаться на комментарии по RSS

SNAT.

     SNAT использует такой синтаксис:

# iptables -t nat -A POSTROUTING --out-interface <интерфейс> -j MASQUERADE

     Указываем таблицу (NAT), цепочку (в SNAT используется только це­почка POSTROUTING), исходящий интерфейс (внешний интерфейс) и цель - в этом случае MASQUERADE (маскарадинг). MASQUERADE полезен для соединений с динамическими или по­лудинамическими IP-адресами. Если хватает статических адресов, SNAT может быть реализован следующим образом:

# iptables -t nat -A POSTROUTING --out-interface <интерфейс> -j SNAT --to-source <адрес>

     В этом случае мы должны указать реальный адрес нашего внешнего интер­фейса.

Далее...

Трансляция адресов(NAT)

Рубрики: Безопасность | Топология сети
Метки: | |
Дата: 05/02/2009 10:18:08
Подписаться на комментарии по RSS

Когда-то IP-адресов хватало на всех, и они стоили очень дешево. Компании выкупали сети класса С (253 узла) или даже сети класса В (около 64 000 узлов). Тогда всем машинам присваивался собс­твенный IP-адрес из адресного пространства сети Интернет.

     Но, как говорится, было и прошло. Теперь нет того огромного пространства свободных IP-адресов, следовательно все чаще и чаще организации покупают не сеть класса С (не говоря уже о сети класса В), а всего лишь один единственный реальный IP-адрес. Для адресации компьютеров внутренней сети используются так называемые внутренние IP-адреса. Такие адреса не обрабатываются маршрутизаторами Интерне­та и могут быть в разных организациях. Во всем мире есть большое количество организаций, где внутренние адреса одни и те же.

Далее...