Firewalle i proxy serwery: Konfiguracja zaawansowana.

Następna strona Poprzednia strona Spis treści

9. Konfiguracja zaawansowana.

Przedstawiłem jedną konfigurację, którą wypróbowałem przez stworzeniem tego dokumentu. Przy czym ten zarys powinien wystarczyć dla większości ludzi. Myślę że poniższy opis zaawansowanych konfiguracji może rozwiać pozostałe wątpliwości. Jeśli oprócz tego masz jeszcze jakieś pytania poza tym co opisałem, albo cię to po prostu interesują cię szczegóły związane ze firewallami i serwerami proxy możesz przeczytać poniższy fragment.

9.1 Wielkie sieci wymagają położenia nacisku na bezpieczeństwo

Powiedzmy, na przykład, że jesteś szefem milicji obywatelskiej i chcesz ,,usieciowć'' swoją siedzibę. Masz pięćdziesiąt komputerów i 32 nr IP (5 bitów). Potrzebujesz możliwości dania różnych poziomów dostępu do sieci ponieważ powierzasz swoim współpracownikom różne zadania. Poza tym będziesz potrzebował izolacji określonych miejsc w sieci od reszty.

Poziomy dostępu:

Poziom zewnętrzny - ukazywany wszystkim, tutaj werbujesz i zdobywasz nowych ochotników.
Troop poziom ten przeznaczony jest dla ludzi którzy otrzymali dostęp z poziomu zewnętrznego. Tutaj jest miejsce gdzie uczysz o rządzie dusz i jak zrobić bombę.
Mercenary Tutaj jest miejsce gdzie naprawdę planujesz chronić. Tutaj składujesz wszelkie informacje o tym jak rządy trzeciego świata zamierzają podbić świat, twoje plany dla Newt Gingich, Oklahoma City, składujesz tajne informacje.

Konfiguracja sieci

Numery IP są ustawione w następujący sposób:

1 numer to 192.168.2.255, będący adresem rozgłoszeniowym nie używanym
23 z 32 adresów IP jest przydzielonych dla maszyn dostępnych w Internecie.
1 dodatkowy adres IP został przydzielony Linuxowi
1 dodatkowy adres IP został przydzielony innemu linuxowi
2 numery IP zostały przydzielone routerowi
4 pozostałe pozostają odłączone ale otrzymują nazwy domenowe: paul, ringo, john, george .
chroniona sieć ma numer 192.168.2.xxx

Teraz budujemy dwie izolowane sieci, każda w innym pokoju. Są one trasowane przez ekranowany ethernet i są kompletnie niewidoczne z innych pomieszczeń. Na szczęście ekranowany Ethernet zachowuje się tak samo jak zwyczajny ethernet.

Każda z tych sieci jest połączona do jednej ze stacji linuxowych na dodatkowych adresach IP.

Są to serwery plików połączone do obu chronionych sieci. Jest tak, ponieważ planujemy dać dostęp tak dla sieci Troops ja i wyższej.

Serwer plików nosi numery 192.168.2.17 dla sieci Troop i 192.168.2.23 dla sieci Mercenary. Mają różne adresy ponieważ mają dwie różne karty sieciowe. network. IP Forwarding jest wyłączony.

IP Forwarding na obu stacjach linuxowych także jest wyłączony. Router nie powinien przesyłać pakietów przeznaczonych dla sieci 192.168.2.xxx dopóki mu tego wprost nie powiemy, tak więc dostęp do internetu pozostaje wyłączony. Wyłączenie przesyłania IP ma na celu zablokowanie połączeń z sieci Troop do sieci Mercenary na odwrót.

Serwer NFS może ponadto oferować różne pliki dla różnych sieci.

To łatwe przy drobnych operacjach z symbolicznymi odniesieniami można zrobić w ten sposób że wspólne pliki są dzielone przez wszystkich. Użycie tego typu ustawień i różnych kart sieciowych umożliwia Ci zastosowanie jednego serwera plików dla trzech sieci.

Serwer proxy

Teraz, dopóki wszystkie trzy poziomu będą możliwe do pracy w ramach wyznaczonych zadań będą potrzebowały dostępu do sieci. Zewnętrzna sieć jest połączona bezpośrednio z internetem, tak więc nie ma tu zastosowania dla serwera pośredniczącego. Sieci Mercenary i Troop znajdują się za ścianą ogniową więc potrzebny im serwer proxy. Konfiguracja obu jest bardzo podobna. Oba mają takie same adresu IP. Jedyna różnica polega na nieco innych parametrach.

Nie każdy może użyć serwera plików dla dostępu do Interntu. Wystawia to go na wirusy i inne brzydkie rzeczu.
Nie chcemy zezwolić sieci Troop na dostęp do WWW. Przechodzą szkolenie I jaki kolwiek przepły informacji mógłby zniszczyć jego efekty.

Tak więc w pliku sockd.conf w linuxie w sieci Troop znajdzie się następująca linia.

  deny 192.168.2.17 255.255.255.255

a w stacji przeznaczonej dla Mercenary:

  deny 192.168.2.23 255.255.255.255

Teraz w stacji linuxowej sieci Troop wpisujemy:

  deny 0.0.0.0 0.0.0.0 eq 80

Ten tekst mówi że zabraniamy dostępu wszystkich maszynom próbującym się dostać do portu równego (eq) 80 (http). Nadal pozwala się na dostęp do wszystkich usług z wyjątkiem WWW.

Teraz oba pliki powinny zawierać linie:

  permit 192.168.2.0 255.255.255.0

by zezwolić wszystkim komputerom z sieci 192.168.2.xxx na użycie tego serwera pośredniczącego zamiast tego który został zakazany (np. serwer plików i dostęp do WWW z sieci Troop).

W sieci Troop w pliku sockd.conf powinien wyglądać w ten sposób:

  deny 192.168.2.17 255.255.255.255
  deny 0.0.0.0 0.0.0.0 eq 80
  permit 192.168.2.0 255.255.255.0

a w sieci Mercenary mniej więcej tak:

  deny 192.168.2.23 255.255.255.255
  permit 192.168.2.0 255.255.255.0

To powinno zakończyć konfigurację wszystkiego. Każda z sieci jest izolowana, z prawidłowymi ustawieniami interakcji. Każdy powinien być szczęśliwy.

Dalej... Podbij świat...

Następna strona Poprzednia strona Spis treści