na akkor megint egy kis litánia bocsi megint hosszú:
történet
hálózat ugy ahogy megvolt nem volt csak a régi rendszer mert ment. teszt
környezetet csinálva doksit bujva töbszöri ujrakezdés után szépen csendben
általakítottam a rendszerünket (igazgató 3-4 hét múlva kérdezte hogy sikerült
valamit csinálni átalakítani mivel tudott róla csak nem vette észre :D) Első
lépésként 1 routert/tűzfalat akartam beletenni, de sajna a
sávszélességmanagment miatt nem lehetett (mivel több vlan illetve interface
forgalát sem a linux sem a mikrotik nem tudja egyelőre egyként kezelni :()
Miért mikrotik? mert lusta voltam 10-15 helyen adminisztrálni egy hálózatot
jelenlegi conf-ok minden beállítással max 1-2000 sor és egy állományban van ha
probléma van minden további nélkül egy két mozdulattal fel lehet programozni
az eszközt. Ezen felül gyakorlatilag a debian stabilitásával gyüri le a
feladatokat mely egy rendszer router/tűzfal-tól elvárhatjunk.
két eszköz dolgozik most 1000-rel igaz mellete van egy tartalék PC ami döcögve
bár de elviszi a rendszert (eredeti routerem tartaléknak).
mi kell a rendszerhez 1 megbizható minimum lan kártya javallott az 1gb de nem
baj ha több van, de jó közelítéssel egy suliban életben nem használják ki a
3-400Mb/s határt (fel/let atadmennyiség ráhagyással) amit viszont a PC
kényelmesen el kell vinnie. Ezen kivül proci jó ha nem 486, de mivel
gyakorlatilag minimális számmítás kell neki ezért nem kell tul nagy sem
felesleges. én tettem bele 1Gb ramot mert kisebbet venni már röhely lett volna
az árkülömbség miatt. A gépekbe 128Mb Dom modult tettem bele de tökéletes
hozzás a
winyo is csak mozgó alkatrész.
A router funciói:
routing, filtering
dhcp
minimális nat de csak adminisztráció miatt
tűzfal:
nat (masqrade,dsnat,srcnat)
routing
filter
pptp
sávszélesség managment
mivel a rendszer vlan szempontjából jó közelítéssel csillagpontos azaz minden
belső vlan egy routeren van configurálva ezért RIP és az OSPF nem alkalmaztam,
bár játszottam vele és ment is de visszatértem a statikus routinghoz. Egyedül
a csillagpontos sztuktúrában csak a tűzfalon kivüli bacsatlakozások
lógnak ki de hát azt a tűzfal megoldja a routernek meg alapértelmezet átjárója
maga a tűzfal.
Még belefogok egy részbe router:
alapértelmezetten a routerekenk vlanok aljálózatok között kell routingot
csinálni, de én tűzfal funkciókat is építettem bele.
Az adatforgalmat részekre osztottam safe (belső hálózat) inet(minden egyéb)
DMZ(minden ami krülről elérhető) igy lett safe-safe safe-dmz inet-safe
inet-DMZ kommunikáció azaz:
safe-dmz safe kérdezhet DMZ csak vállaszolhat kérdésre
safe-inet safe kérdezhet DMZ csak vállaszolhat kérdésre
inet-DMZ teljesen nyitott
safe-safe na itt további vizsgálatok kellenek mert:
vannak gépek mely teljes védelmet élveznek és vannak akiket mindenki elérhet
szóval ez egy kicsit komplikáltabb lett, de aki tudja olvasni az iptables-t az
ezzel is elboldogul:
add action=accept chain=forward comment="ideig engedely" disabled=no
dst-address=10.1.1.0/26 src-address-list=ideig
add action=accept chain=forward comment="" disabled=no src-address-list=ideig
add action=accept chain=forward comment="" connection-state=established
disabled=no
add action=accept chain=forward comment="" connection-state=related disabled=no
add action=jump chain=forward comment="" disabled=no jump-target=osztajozas
add action=accept chain=lezart comment="" disabled=no dst-address-list=publikus
add action=accept chain=lezart comment="" disabled=no out-interface=tuzfal
add action=log chain=lezart comment="" disabled=no log-prefix=""
add action=drop chain=lezart comment="" disabled=no
add action=jump chain=osztajozas comment="" disabled=no jump-target=lezart
src-address-list=lezart
add action=jump chain=osztajozas comment="" disabled=no dst-address-list=lezart
jump-target=lezart
add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16
jump-target=ss src-address=10.1.0.0/16
add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16
jump-target=ds src-address=192.168.255.0/24
add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16
jump-target=ds src-address=193.224.94.208/28
add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16
jump-target=is
add action=jump chain=osztajozas comment="" disabled=no
dst-address=192.168.255.0/24 jump-target=sd src-address=10.1.0.0/16
add action=jump chain=osztajozas comment="" disabled=no
dst-address=193.224.94.208/28 jump-target=sd src-address=10.1.0.0/16
add action=jump chain=osztajozas comment="" disabled=no
dst-address=192.168.255.0/24 jump-target=id
add action=jump chain=osztajozas comment="" disabled=no
dst-address=193.224.94.208/28 jump-target=id
add action=jump chain=osztajozas comment="" disabled=no
dst-address=193.224.94.200/30 jump-target=iv
add action=jump chain=osztajozas comment="" disabled=no jump-target=si
src-address=10.1.0.0/16
add action=jump chain=osztajozas comment="" disabled=no jump-target=di
src-address=192.168.255.0/24
add action=drop chain=forward comment="" disabled=no
add action=add-src-to-address-list address-list=ideig address-list-timeout=30m
chain=ss comment="" connection-state=new disabled=no dst-address=10.1.x.xx
dst-port=xx \
protocol=tcp
add action=drop chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.x.xx dst-port=xx protocol=tcp
add action=accept chain=ss comment="rg gp elrse" disabled=no
src-address-list=ideig
add action=drop chain=ss comment="" disabled=no out-interface=Rvoip
src-address=10.1.1.0/26
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.255.0/24 src-address=10.1.0.0/18
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.0.0/18 src-address=10.1.255.0/24
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.3.0/26 src-address=10.1.0.0/19
add action=drop chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.1.10 src-address=10.1.24.4
add action=drop chain=ss comment="" disabled=no
add action=accept chain=sd comment="" disabled=no src-address-list=ideig
add action=accept chain=sd comment="" connection-state=new disabled=no
src-address=10.1.0.0/16
add action=drop chain=sd comment="" disabled=no
add action=accept chain=si comment="" disabled=no src-address-list=ideig
add action=drop chain=si comment="" disabled=yes
add action=drop chain=si comment="" disabled=no src-address=10.1.3.0/26
add action=accept chain=si comment="" connection-state=new disabled=no
src-address=10.1.0.0/16
add action=drop chain=si comment="" disabled=no
add action=drop chain=ds comment="" disabled=no dst-address=10.1.3.0/26
add action=drop chain=ds comment="" disabled=no dst-address=10.1.96.0/19
add action=accept chain=ds comment="mig nem megoldott ms gpen bejutni"
connection-state=new disabled=yes
add action=drop chain=ds comment="" disabled=no
add action=accept chain=di comment="" disabled=no src-address-list=ideig
add action=accept chain=di comment="" connection-state=new disabled=no
add action=drop chain=di comment="" disabled=no
add action=jump chain=is comment="" disabled=no jump-target=allow
add action=jump chain=is comment="" disabled=no dst-address=10.1.1.17
jump-target=allowed
add action=drop chain=is comment="" disabled=no
add action=accept chain=id comment="" disabled=yes
add action=accept chain=id comment="" connection-state=new disabled=no
add action=drop chain=id comment="" disabled=no
add action=accept chain=allow comment="" connection-state=established
disabled=no
add action=accept chain=allow comment="" connection-state=related disabled=no
add action=drop chain=allow comment="" disabled=no
add action=accept chain=allowed comment="" connection-state=new disabled=no
add action=accept chain=allowed comment="" connection-state=established
disabled=no
add action=accept chain=allowed comment="" connection-state=related disabled=no
add action=drop chain=allowed comment="" disabled=no
add action=accept chain=output comment="" disabled=no
add action=accept chain=input comment="accept established connection packets"
connection-state=established disabled=no
add action=accept chain=input comment="accept related connection packets"
connection-state=related disabled=no
add action=drop chain=input comment="drop invalid packets"
connection-state=invalid disabled=no
add action=accept chain=input comment="Allow access to router from known
network" disabled=no src-address-list=ideig
add action=drop chain=input comment="detect and drop port scan connections"
disabled=no protocol=tcp psd=21,3s,3,1
add action=tarpit chain=input comment="suppress DoS attack"
connection-limit=3,32 disabled=no protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list
address-list-timeout=1d chain=input comment="detect DoS attack"
connection-limit=10,32 disabled=no protocol=tcp
add action=jump chain=input comment="jump to chain ICMP" disabled=no
jump-target=icmp-acc protocol=icmp
add action=jump chain=input comment="jump to chain services" disabled=no
jump-target=services
add action=accept chain=input comment="Allow Broadcast Traffic" disabled=no
dst-address-type=broadcast
add action=log chain=input comment="" disabled=no log-prefix="Filter:"
add action=jump chain=osztajozas comment="" disabled=no jump-target=di
src-address=193.224.94.208/28
add action=jump chain=osztajozas comment="" disabled=no dst-address-list=""
jump-target=vi src-address=193.224.94.200/30
add action=drop chain=osztajozas comment="" disabled=no
add action=accept chain=services comment="accept localhost" disabled=no
dst-address=127.0.0.1 src-address-list=127.0.0.1
add action=accept chain=services comment="allow MACwinbox " disabled=no
dst-port=20561 protocol=udp
add action=accept chain=services comment="Bandwidth server" disabled=no
dst-port=2000 protocol=tcp
add action=accept chain=services comment=" MT Discovery Protocol" disabled=no
dst-port=5678 protocol=udp
add action=accept chain=services comment="allow SSH" disabled=no dst-port=22
protocol=tcp
add action=accept chain=services comment="allow SNMP" disabled=no dst-port=161
protocol=tcp
add action=accept chain=services comment="Allow BGP" disabled=yes dst-port=179
protocol=tcp
add action=accept chain=services comment="allow BGP" disabled=yes
dst-port=5000-5100 protocol=udp
add action=accept chain=services comment="Allow NTP" disabled=yes dst-port=123
protocol=udp
add action=accept chain=services comment="Allow PPTP" disabled=no dst-port=1723
protocol=tcp
add action=accept chain=services comment="allow PPTP and EoIP" disabled=no
protocol=gre
add action=accept chain=services comment="allow DNS request" disabled=yes
dst-port=53 protocol=tcp
add action=accept chain=services comment="Allow DNS request" disabled=yes
dst-port=53 protocol=udp
add action=accept chain=services comment="UPnP" disabled=yes dst-port=1900
protocol=udp
add action=accept chain=services comment="UPnP" disabled=yes dst-port=2828
protocol=tcp
add action=accept chain=services comment="allow DHCP" disabled=yes
dst-port=67-68 protocol=udp
add action=accept chain=services comment="allow Web Proxy" disabled=yes
dst-port=8080 protocol=tcp
add action=accept chain=services comment="allow IPIP" disabled=yes
protocol=ipencap
add action=accept chain=services comment="allow https for Hotspot" disabled=yes
dst-port=443 protocol=tcp
add action=accept chain=services comment="allow Socks for Hotspot" disabled=yes
dst-port=1080 protocol=tcp
add action=accept chain=services comment="allow IPSec connections" disabled=yes
dst-port=500 protocol=udp
add action=accept chain=services comment="allow IPSec" disabled=yes
protocol=ipsec-esp
add action=accept chain=services comment="allow IPSec" disabled=yes
protocol=ipsec-ah
add action=accept chain=services comment="allow RIP" disabled=yes
dst-port=520-521 protocol=udp
add action=accept chain=services comment="allow OSPF" disabled=no protocol=ospf
add action=drop chain=input comment="drop everything else" disabled=no
add action=accept chain=icmp-acc comment="0:0 and limit for 5pac/s" disabled=no
icmp-options=0:0-255 limit=5,5 protocol=icmp
add action=accept chain=icmp-acc comment="3:3 and limit for 5pac/s" disabled=no
icmp-options=3:3 limit=5,5 protocol=icmp
add action=accept chain=icmp-acc comment="3:4 and limit for 5pac/s" disabled=no
icmp-options=3:4 limit=5,5 protocol=icmp
add action=accept chain=icmp-acc comment="5:0 and limit for 5pac/s" disabled=no
icmp-options=5:0-255 limit=5,5 protocol=icmp
add action=accept chain=icmp-acc comment="8:0 and limit for 5pac/s" disabled=no
icmp-options=8:0-255 limit=5,5 protocol=icmp
add action=accept chain=icmp-acc comment="11:0 and limit for 5pac/s"
disabled=no icmp-options=11:0-255 limit=5,5 protocol=icmp
add action=drop chain=icmp-acc comment="Drop everything else" disabled=no
protocol=icmp
add action=jump chain=vi comment="" disabled=no jump-target=di
add action=jump chain=iv comment="" disabled=no jump-target=id
add action=drop chain=vi comment="" disabled=no
add action=drop chain=iv comment="" disabled=no
mivel a nat nem nagy szám beleteszem azt is:
add action=src-nat chain=srcnat comment="" disabled=yes
dst-address=10.1.99.0/24 src-address=192.168.255.1 to-addresses=10.1.1.10
to-ports=0-65535
add action=dst-nat chain=dstnat comment="" disabled=yes dst-address=0.0.0.0/0
src-address=10.1.99.0/24 to-addresses=192.168.255.1 to-ports=0-65535
add action=dst-nat chain=dstnat comment="" disabled=no
dst-address=195.199.183.201 dst-port=25 protocol=tcp src-address=10.1.0.0/18
to-addresses=192.168.255.1 to-ports=2525
add action=dst-nat chain=dstnat comment="" disabled=no
dst-address=195.199.183.201 src-address=192.168.255.0/24
to-addresses=192.168.255.1 to-ports=0-65535
add action=dst-nat chain=dstnat comment="" disabled=no
dst-address=195.199.183.201 to-addresses=192.168.255.1 to-ports=0-65535
add action=masquerade chain=srcnat comment="" disabled=yes
dst-address=10.1.99.64/26 src-address=10.1.1.10
add action=masquerade chain=srcnat comment="" disabled=yes
dst-address=192.168.2.254 src-address=10.1.1.10
azt tudni kell hogy a gépem és egyben a hálózat atya uristene 10.1.1.10-ip
cimű gép volt
ha disabled=yes-esk gyakorlatilag kiskapuk a lezárt rendszerek eléréséhez.
Tisztelettel:
Sinkó Gábor Zoltán
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
