na akkor megint egy kis litánia bocsi megint hosszú: történet hálózat ugy ahogy megvolt nem volt csak a régi rendszer mert ment. teszt környezetet csinálva doksit bujva töbszöri ujrakezdés után szépen csendben általakítottam a rendszerünket (igazgató 3-4 hét múlva kérdezte hogy sikerült valamit csinálni átalakítani mivel tudott róla csak nem vette észre :D) Első lépésként 1 routert/tűzfalat akartam beletenni, de sajna a sávszélességmanagment miatt nem lehetett (mivel több vlan illetve interface forgalát sem a linux sem a mikrotik nem tudja egyelőre egyként kezelni :()
Miért mikrotik? mert lusta voltam 10-15 helyen adminisztrálni egy hálózatot jelenlegi conf-ok minden beállítással max 1-2000 sor és egy állományban van ha probléma van minden további nélkül egy két mozdulattal fel lehet programozni az eszközt. Ezen felül gyakorlatilag a debian stabilitásával gyüri le a feladatokat mely egy rendszer router/tűzfal-tól elvárhatjunk. két eszköz dolgozik most 1000-rel igaz mellete van egy tartalék PC ami döcögve bár de elviszi a rendszert (eredeti routerem tartaléknak). mi kell a rendszerhez 1 megbizható minimum lan kártya javallott az 1gb de nem baj ha több van, de jó közelítéssel egy suliban életben nem használják ki a 3-400Mb/s határt (fel/let atadmennyiség ráhagyással) amit viszont a PC kényelmesen el kell vinnie. Ezen kivül proci jó ha nem 486, de mivel gyakorlatilag minimális számmítás kell neki ezért nem kell tul nagy sem felesleges. én tettem bele 1Gb ramot mert kisebbet venni már röhely lett volna az árkülömbség miatt. A gépekbe 128Mb Dom modult tettem bele de tökéletes hozzás a winyo is csak mozgó alkatrész. A router funciói: routing, filtering dhcp minimális nat de csak adminisztráció miatt tűzfal: nat (masqrade,dsnat,srcnat) routing filter pptp sávszélesség managment mivel a rendszer vlan szempontjából jó közelítéssel csillagpontos azaz minden belső vlan egy routeren van configurálva ezért RIP és az OSPF nem alkalmaztam, bár játszottam vele és ment is de visszatértem a statikus routinghoz. Egyedül a csillagpontos sztuktúrában csak a tűzfalon kivüli bacsatlakozások lógnak ki de hát azt a tűzfal megoldja a routernek meg alapértelmezet átjárója maga a tűzfal. Még belefogok egy részbe router: alapértelmezetten a routerekenk vlanok aljálózatok között kell routingot csinálni, de én tűzfal funkciókat is építettem bele. Az adatforgalmat részekre osztottam safe (belső hálózat) inet(minden egyéb) DMZ(minden ami krülről elérhető) igy lett safe-safe safe-dmz inet-safe inet-DMZ kommunikáció azaz: safe-dmz safe kérdezhet DMZ csak vállaszolhat kérdésre safe-inet safe kérdezhet DMZ csak vállaszolhat kérdésre inet-DMZ teljesen nyitott safe-safe na itt további vizsgálatok kellenek mert: vannak gépek mely teljes védelmet élveznek és vannak akiket mindenki elérhet szóval ez egy kicsit komplikáltabb lett, de aki tudja olvasni az iptables-t az ezzel is elboldogul: add action=accept chain=forward comment="ideig engedely" disabled=no dst-address=10.1.1.0/26 src-address-list=ideig add action=accept chain=forward comment="" disabled=no src-address-list=ideig add action=accept chain=forward comment="" connection-state=established disabled=no add action=accept chain=forward comment="" connection-state=related disabled=no add action=jump chain=forward comment="" disabled=no jump-target=osztajozas add action=accept chain=lezart comment="" disabled=no dst-address-list=publikus add action=accept chain=lezart comment="" disabled=no out-interface=tuzfal add action=log chain=lezart comment="" disabled=no log-prefix="" add action=drop chain=lezart comment="" disabled=no add action=jump chain=osztajozas comment="" disabled=no jump-target=lezart src-address-list=lezart add action=jump chain=osztajozas comment="" disabled=no dst-address-list=lezart jump-target=lezart add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16 jump-target=ss src-address=10.1.0.0/16 add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16 jump-target=ds src-address=192.168.255.0/24 add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16 jump-target=ds src-address=193.224.94.208/28 add action=jump chain=osztajozas comment="" disabled=no dst-address=10.1.0.0/16 jump-target=is add action=jump chain=osztajozas comment="" disabled=no dst-address=192.168.255.0/24 jump-target=sd src-address=10.1.0.0/16 add action=jump chain=osztajozas comment="" disabled=no dst-address=193.224.94.208/28 jump-target=sd src-address=10.1.0.0/16 add action=jump chain=osztajozas comment="" disabled=no dst-address=192.168.255.0/24 jump-target=id add action=jump chain=osztajozas comment="" disabled=no dst-address=193.224.94.208/28 jump-target=id add action=jump chain=osztajozas comment="" disabled=no dst-address=193.224.94.200/30 jump-target=iv add action=jump chain=osztajozas comment="" disabled=no jump-target=si src-address=10.1.0.0/16 add action=jump chain=osztajozas comment="" disabled=no jump-target=di src-address=192.168.255.0/24 add action=drop chain=forward comment="" disabled=no add action=add-src-to-address-list address-list=ideig address-list-timeout=30m chain=ss comment="" connection-state=new disabled=no dst-address=10.1.x.xx dst-port=xx \ protocol=tcp add action=drop chain=ss comment="" connection-state=new disabled=no dst-address=10.1.x.xx dst-port=xx protocol=tcp add action=accept chain=ss comment="rg gp elrse" disabled=no src-address-list=ideig add action=drop chain=ss comment="" disabled=no out-interface=Rvoip src-address=10.1.1.0/26 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.255.0/24 src-address=10.1.0.0/18 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.0.0/18 src-address=10.1.255.0/24 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.3.0/26 src-address=10.1.0.0/19 add action=drop chain=ss comment="" connection-state=new disabled=no dst-address=10.1.1.10 src-address=10.1.24.4 add action=drop chain=ss comment="" disabled=no add action=accept chain=sd comment="" disabled=no src-address-list=ideig add action=accept chain=sd comment="" connection-state=new disabled=no src-address=10.1.0.0/16 add action=drop chain=sd comment="" disabled=no add action=accept chain=si comment="" disabled=no src-address-list=ideig add action=drop chain=si comment="" disabled=yes add action=drop chain=si comment="" disabled=no src-address=10.1.3.0/26 add action=accept chain=si comment="" connection-state=new disabled=no src-address=10.1.0.0/16 add action=drop chain=si comment="" disabled=no add action=drop chain=ds comment="" disabled=no dst-address=10.1.3.0/26 add action=drop chain=ds comment="" disabled=no dst-address=10.1.96.0/19 add action=accept chain=ds comment="mig nem megoldott ms gpen bejutni" connection-state=new disabled=yes add action=drop chain=ds comment="" disabled=no add action=accept chain=di comment="" disabled=no src-address-list=ideig add action=accept chain=di comment="" connection-state=new disabled=no add action=drop chain=di comment="" disabled=no add action=jump chain=is comment="" disabled=no jump-target=allow add action=jump chain=is comment="" disabled=no dst-address=10.1.1.17 jump-target=allowed add action=drop chain=is comment="" disabled=no add action=accept chain=id comment="" disabled=yes add action=accept chain=id comment="" connection-state=new disabled=no add action=drop chain=id comment="" disabled=no add action=accept chain=allow comment="" connection-state=established disabled=no add action=accept chain=allow comment="" connection-state=related disabled=no add action=drop chain=allow comment="" disabled=no add action=accept chain=allowed comment="" connection-state=new disabled=no add action=accept chain=allowed comment="" connection-state=established disabled=no add action=accept chain=allowed comment="" connection-state=related disabled=no add action=drop chain=allowed comment="" disabled=no add action=accept chain=output comment="" disabled=no add action=accept chain=input comment="accept established connection packets" connection-state=established disabled=no add action=accept chain=input comment="accept related connection packets" connection-state=related disabled=no add action=drop chain=input comment="drop invalid packets" connection-state=invalid disabled=no add action=accept chain=input comment="Allow access to router from known network" disabled=no src-address-list=ideig add action=drop chain=input comment="detect and drop port scan connections" disabled=no protocol=tcp psd=21,3s,3,1 add action=tarpit chain=input comment="suppress DoS attack" connection-limit=3,32 disabled=no protocol=tcp src-address-list=black_list add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input comment="detect DoS attack" connection-limit=10,32 disabled=no protocol=tcp add action=jump chain=input comment="jump to chain ICMP" disabled=no jump-target=icmp-acc protocol=icmp add action=jump chain=input comment="jump to chain services" disabled=no jump-target=services add action=accept chain=input comment="Allow Broadcast Traffic" disabled=no dst-address-type=broadcast add action=log chain=input comment="" disabled=no log-prefix="Filter:" add action=jump chain=osztajozas comment="" disabled=no jump-target=di src-address=193.224.94.208/28 add action=jump chain=osztajozas comment="" disabled=no dst-address-list="" jump-target=vi src-address=193.224.94.200/30 add action=drop chain=osztajozas comment="" disabled=no add action=accept chain=services comment="accept localhost" disabled=no dst-address=127.0.0.1 src-address-list=127.0.0.1 add action=accept chain=services comment="allow MACwinbox " disabled=no dst-port=20561 protocol=udp add action=accept chain=services comment="Bandwidth server" disabled=no dst-port=2000 protocol=tcp add action=accept chain=services comment=" MT Discovery Protocol" disabled=no dst-port=5678 protocol=udp add action=accept chain=services comment="allow SSH" disabled=no dst-port=22 protocol=tcp add action=accept chain=services comment="allow SNMP" disabled=no dst-port=161 protocol=tcp add action=accept chain=services comment="Allow BGP" disabled=yes dst-port=179 protocol=tcp add action=accept chain=services comment="allow BGP" disabled=yes dst-port=5000-5100 protocol=udp add action=accept chain=services comment="Allow NTP" disabled=yes dst-port=123 protocol=udp add action=accept chain=services comment="Allow PPTP" disabled=no dst-port=1723 protocol=tcp add action=accept chain=services comment="allow PPTP and EoIP" disabled=no protocol=gre add action=accept chain=services comment="allow DNS request" disabled=yes dst-port=53 protocol=tcp add action=accept chain=services comment="Allow DNS request" disabled=yes dst-port=53 protocol=udp add action=accept chain=services comment="UPnP" disabled=yes dst-port=1900 protocol=udp add action=accept chain=services comment="UPnP" disabled=yes dst-port=2828 protocol=tcp add action=accept chain=services comment="allow DHCP" disabled=yes dst-port=67-68 protocol=udp add action=accept chain=services comment="allow Web Proxy" disabled=yes dst-port=8080 protocol=tcp add action=accept chain=services comment="allow IPIP" disabled=yes protocol=ipencap add action=accept chain=services comment="allow https for Hotspot" disabled=yes dst-port=443 protocol=tcp add action=accept chain=services comment="allow Socks for Hotspot" disabled=yes dst-port=1080 protocol=tcp add action=accept chain=services comment="allow IPSec connections" disabled=yes dst-port=500 protocol=udp add action=accept chain=services comment="allow IPSec" disabled=yes protocol=ipsec-esp add action=accept chain=services comment="allow IPSec" disabled=yes protocol=ipsec-ah add action=accept chain=services comment="allow RIP" disabled=yes dst-port=520-521 protocol=udp add action=accept chain=services comment="allow OSPF" disabled=no protocol=ospf add action=drop chain=input comment="drop everything else" disabled=no add action=accept chain=icmp-acc comment="0:0 and limit for 5pac/s" disabled=no icmp-options=0:0-255 limit=5,5 protocol=icmp add action=accept chain=icmp-acc comment="3:3 and limit for 5pac/s" disabled=no icmp-options=3:3 limit=5,5 protocol=icmp add action=accept chain=icmp-acc comment="3:4 and limit for 5pac/s" disabled=no icmp-options=3:4 limit=5,5 protocol=icmp add action=accept chain=icmp-acc comment="5:0 and limit for 5pac/s" disabled=no icmp-options=5:0-255 limit=5,5 protocol=icmp add action=accept chain=icmp-acc comment="8:0 and limit for 5pac/s" disabled=no icmp-options=8:0-255 limit=5,5 protocol=icmp add action=accept chain=icmp-acc comment="11:0 and limit for 5pac/s" disabled=no icmp-options=11:0-255 limit=5,5 protocol=icmp add action=drop chain=icmp-acc comment="Drop everything else" disabled=no protocol=icmp add action=jump chain=vi comment="" disabled=no jump-target=di add action=jump chain=iv comment="" disabled=no jump-target=id add action=drop chain=vi comment="" disabled=no add action=drop chain=iv comment="" disabled=no mivel a nat nem nagy szám beleteszem azt is: add action=src-nat chain=srcnat comment="" disabled=yes dst-address=10.1.99.0/24 src-address=192.168.255.1 to-addresses=10.1.1.10 to-ports=0-65535 add action=dst-nat chain=dstnat comment="" disabled=yes dst-address=0.0.0.0/0 src-address=10.1.99.0/24 to-addresses=192.168.255.1 to-ports=0-65535 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=195.199.183.201 dst-port=25 protocol=tcp src-address=10.1.0.0/18 to-addresses=192.168.255.1 to-ports=2525 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=195.199.183.201 src-address=192.168.255.0/24 to-addresses=192.168.255.1 to-ports=0-65535 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=195.199.183.201 to-addresses=192.168.255.1 to-ports=0-65535 add action=masquerade chain=srcnat comment="" disabled=yes dst-address=10.1.99.64/26 src-address=10.1.1.10 add action=masquerade chain=srcnat comment="" disabled=yes dst-address=192.168.2.254 src-address=10.1.1.10 azt tudni kell hogy a gépem és egyben a hálózat atya uristene 10.1.1.10-ip cimű gép volt ha disabled=yes-esk gyakorlatilag kiskapuk a lezárt rendszerek eléréséhez. Tisztelettel: Sinkó Gábor Zoltán
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx