[ LUGOS ] Postavitev Firewall-a!

Marko Ebert saruman na earthdome.com
Čet Maj 10 00:08:05 CEST 2001


Zivjo!

> > Torej pustim vse nastavitve identi?ne (kot pri IP Masquerade)?
> > Ali pa je potrebno mre?ni kartici nastaviti druga?e!

1.) Katero varjanto IPMasq uporabljas? ipfw(kerneli pred 2.1 se mi zdi),
ipchains(kerneli okoli 2.2.x) al iptables(kerneli 2.3+)?
Predlagam iptablese... med drugim tud zlo lepo sodelujejo z iproute2 (ki
je bil priporocen v enem od ostalih mailov)

2.) Kaksno uporabo imas v mislih? in zmoznosti imas?
2.1)                                                /-> masina 1
internet <---->| firewall |<---->lokalno omrezje <->|-> masina 2
                                                    \-> masina 3
pri tej izvedbi (ce seveda firewall opravlja NAT (==Masquerading)) rabis
1 pravi IP naslov za firewall, mreza je pa na privat IP obmocjih
(192.168.x.x, 10.x.x.x in pa se nekje v 2xx so nekje sam ne vem napamet)
in vse povezave iz lokalne mreze gredo v svet in dobijo odgovore,
povezave zacete izven lokalne mreze pa se ustavijo na firewallu

2.2) isto kot 2.1, samo da ce se npr telnetas na IP od firewalla te
dejansko poveze na masino 3 na port (npr) 8000 ali kaj podobnega...
zahteve za to varjanto so iste kot 2.1, samo da poves firewallu kaj naj
naredi s paketi iz sveta, ki so namenjeni na dolocen port (s porta 80
poslje na masino 1,s porta 23 pa na masino 10)

2.3 princip isti kot 2.1, samo da so vsi IPji realni, kar pomeni da NATa
sploh ne rabis ampak rabis samo packet/socket filtering pa routing...
Zadeva je verjetno najbolj enostavna od vseh varjant, se mi pa zdi da
nimas celega IP obmocja da bi se s tem igral.

2.4) 
internet <----------------------------------------| masina 1
internet ---->| firewall |---->lokalno omrezje -> | masina 2
                                                  | masina 3
za to zadevo pa rabijo vse masine realne IPje in je predvsem namenjeno
velikim grucam streznikov (npr 10 streznikov servira isto vsebino, pa
morjo bit vsi dosegljivi na isti IP)... tole dvomim da rabis, je pa
mozno izvest, sam ti predlagam da za zacetek preucis zgornji dve
varjanti pa se dokumentacijo na netfilter.samba.org (koncentrira se na
iptables tehnologiji, je pa link na ipchainse tudi)...

> > Pa e?e eno vpra?anje: Ni nujno da se kartici "nahajata" na razli?nih
> > omre?jih????

[...snip...]

> Nastavitve cesa? IP naslovi na firewallu so lahko enaki, ja, razen,
> ce je na drugi strani windows masina (videl sem ze, da se windows
> masina ni hotela pogovarjat s svojim gatewayem, ce je bil ta na drugem
> localnetu).

To zato ker majo Winsi slabo navado zlo velik broadcastat, kar pa poteka
pri (npr)
192.168.0.0/24 (netmask 255.255.255.0) po 192.168.0.255, torej masine ki
ne gledajo teh broadcastov teh zadev ne vidijo... sploh pa... zakaj bi
sploh hotel imeti gw na enem subnetu, masine pa na drugem... ce nic
drugega mora biti med dvema subnetoma router, ki je pa lahko (ce je ze
kriza z masinami) tudi gw. Ce sta pa subneta ze v internetu routana
drugace pa morata tako imeti razlicne gw, ker pridejo signali od
razlicnih ISPjev (ce ne, pa velja prejsnji scenarij)...

LP

/M




Dodatne informacije o seznamu Starilist