Инсталиране и настройка на “прозрачна защитна стена”
	от Uvigii(14-04-2004) рейтинг (18)   [ добре ]  [ зле ]  Вариант за отпечатване Инсталиране и настройка на “прозрачна защитна стена” (transparent firewall) Заб.:Авторът е напълно наясно, че (може да) съществуват неточности и грешки. Показаното тук е само с учебна цел! Преди да направите каквото и да е архивирайте важните си данни (а защо не всичко?) ! Превода на английските термини може да не е съвсем точен. За контакти: uvigii@mail.bg , най актуалната версия на: http://uvigii.jeckyll.net/pub/doc/tf/TF.html Съдържание: 1.Идея за използване 2.Инсталация 2.1. Подготовка 2.2. Ядро: кърпеж, конфигуриране, компилиране, инсталация. 2.3. Brctl: конфигуриране, компилиране, инсталация. 2.4. Squid: конфигуриране, компилиране, инсталация. 3.Настройки 3.1. Настройка на бриджа. 3.2. Настройка на IP филтър с iptables. 3.3. Настройка на Squid. 4.Заключение. 1. Идея за използване Представете си следната ситуация (фиг.1): В нашите права/задължения влиза администрирането само на LAN, разполагаме с ограничен бюджет но трябва да реализираме по някакъв начин филтриране на трафика от и към интернет. Един от възможните варианти е да направим 'интелигентен' комутатор (switch) използвайки Линукс (фиг2). В нашия случай той ще има само два порта и ще служи да отдели локалната мрежа от рутера на ISP, който би трябвало да се явява шлюз по подразбиране (default gateway) за потребителите в LAN. По този начин IP пакетите ще се преглеждат съгласно правила зададени от нас, при което ще преминат само тези които ние искаме. Чрез настройката на прокси сървър бихме могли да отидем по-далече и да филтрираме определено съдържание на някои сайтове, например всички mp3 файлове от free.xxx.bg. Можем също да определим и скоростта с която ще се свалят определени файлове т.е. можем да определим скорост от 1 кб/с за mp3 файловете на free.xxx.bg и 10 кб/с за html документите от същия сайт. Забележете, че не се налага да се преконфигурират машиниите в LAN, нито рутера на ISP. Възможно е машината която ще ползваме да работи без да е конфигурирана с IP адрес. В този случай линукс-суича, ще има конфигуриран IP адрес за да се администрира отдалечено. При по-параноична конфигурация е възможно това да не се прави. 2. Инсталация 2.1. Подготовка Следващите стъпки са реализирани под Slackware с ядро 2.4.24 необходими са ни: Инсталирана система; компилатор; работещи мрежови контролери (NIC) eth0, eth1 ;-) изходния код на ядрото brctl ebtables 2.2. Ядро: кърпене, конфигуриране, компилиране, инсталация. За да може iptables да 'вижда' IP пакетите (3-ти слой от OSI модела) който 'преминават' опаковани като фреймове през бриджа (2-ри слой от OSI модела) за ядра от серията 2.4 е необходимо да се пачне ядрото на Линукс. За целта декомпресирайте ebtables в /usr/src/linux , след което: root@fw:/usr/src/linux# patch -p1 -i ebtables-brnf-5_vs_2.4.24.diff root@fw:/usr/src/linux# make menuconfig В networking options Избираме Network packet filtering (replaces ipchains) и 802.1d Ethernet Bridging компилираме root@fw:/usr/src/linux# make clean && make dep && make bzImage && make modules Инсталираме новото ядро и модулите към него, преглеждаме /etc/lilo.conf изпълняваме: root@fw:/usr/src/linux# /sbin/lilo Рестартираме системата. 2.3. Brctl: конфигуриране, компилиране, инсталация. root@fw:/tmp# tar -xzvf bridge-utils-0.9.6.tar.gz root@fw:/tmp# cd bridge-utils root@fw:/tmp/bridge-utils# ./configure root@fw:/tmp/bridge-utils# make all root@fw:/tmp/bridge-utils# make install 2.4. Squid: конфигуриране, компилиране, инсталация. Squid е кеширащ http прокси сървър с богат набор от функции. Следващите стъпки не са задължителни ако не желаете да инсталирате Squid . root@fw:/tmp# tar -xzvf squid-2.5.STABLE5.tar.gz root@fw:/tmp# cd squid-2.5.STABLE5 root@fw:/tmp/squid-2.5.STABLE5# ./configure --prefix=/usr/local/squid --enable-delay-pools –enable-linux-netfilter root@fw:/tmp/squid-2.5.STABLE5# make all root@fw:/tmp/squid-2.5.STABLE5# mkdir /usr/local/squid root@fw:/tmp/squid-2.5.STABLE5# chown nobody /usr/local/squid root@fw:/tmp/squid-2.5.STABLE5# su nobody nobody@fw:/tmp/squid-2.5.STABLE5$ make install nobody@fw:/$ exit Настройки 3.1. Настройка на бриджа. Създаваме скрипта /etc/rc.d/rc.bridge #!/bin/sh # # /etc/rc.d/rc.bridge. BRVER="0.0.1" # BRCTL="/usr/local/sbin/brctl" IFCONFIG="/sbin/ifconfig" ROUTE="/sbin/route" # BR="br_fw" INTIF0="eth0" EXTIF0="eth1" BRIP="10.4.9.5" BRNET="10.4.9.0" BRMASK="255.255.255.0" BRBRC="10.4.9.255" BRGW="10.4.9.1" # echo "Starting brige $BRVER ... " # $IFCONFIG $INTIF0 0.0.0.0 $IFCONFIG $EXTIF0 0.0.0.0 # $BRCTL addbr $BR $BRCTL addif $BR $INTIF0 $BRCTL addif $BR $EXTIF0 # $IFCONFIG $BR up $IFCONFIG $BR $BRIP netmask $BRMASK broadcast $BRBRC $ROUTE add default gw $BRGW $IFCONFIG $ROUTE $BRCTL show # След което го стартираме: root@fw:/etc/rc.d# ./rc.bridge Може да добавим следното в /etc/rc.d/rc.inet1 /etc/rc.d/rc.brige с цел автоматично изпълнение на скрипта при старт на машината. Разбира се добре е да съобразите кога ще стартирате /etc/rc.d/rc.firewall ! Може да направите start i stop функции и т.н. В случая няма значение. Вече би трябвало да имаме работещ бридж с два физически интерфейса eth0 – към локалната мрежа и eth1 – към ISP рутера, един логически административен адрес 10.4.9.5 3.2. Настройка на IP филтър с iptables. Тук вече всичко е в ръцете Ви. Пример А Този пример изисква работещ Squid! root@fw:/etc/rc.d# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 root@fw:/etc/rc.d# iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP С горните два реда ще пренасочим IP пакетите идващи от локалната мрежа и отиващи към 80-и порт(http) на машини извън LAN към 8080-и порт на бридж машината и ще забраним всички пакети пристигащи от вън и отиващи към 80-и порт в LAN . Резултатът може да проверите чрез смяна на кабелите на двете мрежови карти. Пример Б root@fw:/etc/rc.d# iptables -P INPUT DROP root@fw:/etc/rc.d# iptables -A INPUT -i eth1 -p tcp -s 10.4.10.2 --dport 22 -j ACCEPT root@fw:/etc/rc.d# iptables -A INPUT -i eth0 -p tcp -s 10.4.9.2--dport 22 -j ACCEPT С този пример забраняваме на всички освен на машини с мрежови адреси 10.4.10.2 и 10.4.9.2 да се свързват на 22-и порт на бридж машината (SSH). Забележете, че по подразбиране всички пакети които не са изрично приети, ще бъдат отшвърлени т.е. в този случай връзки към други портове няма да са възможни. 3.3. Настройка на Squid Използването на Squid в този случай е по скоро показателно отколкото наложително. Целта му е да допълни функционалността на iptables, това се постига чрез доста удобния (поне за мен) начин за филтриране на url, delay_pools и т.н. Той е гъвкъв и може да се настрои да работи само като url филтър без да кешира каквото и да е ! Друг вариант е да се ползва отделна машина за прокси сървър. За да работи като transparent proxy не трябва да се забрави httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_host virtual httpd_accel_uses_host_header on в /usr/local/squid/etc/squid.conf. Пример А # acl Webs05 dstdomain .microsoft.com .msn.com .msn.net acl Webs50 dst 0.0.0.0/0.0.0.0 # acl Hosts50 src 10.42.9.0/255.255.255.0 acl Hosts90 src 10.42.9.2/255.255.255.255 # acl Conn50 maxconn 6 # http_access deny Hosts50 Webs05 http_access allow Hosts90 Webs50 http_access allow Hosts50 Webs50 !Conn50 http_access deny all По този начин ще направим следното: 1. Ще забраним достъпа до microsoft.com и производни, 2 Ще разрешим на всички в локалната мрежа достъп до всички сайтове с максимум 6 връзки едновременно (за 1 IP) (Освен Hosts90). Забележете, че msn.com, msn.net и microsoft.com няма да са достъпни! Пример Б acl Hosts90 src 10.42.9.2/255.255.255.255 # acl Words50 url_regex -i ftp .exe .mp3 .wav .avi .mov .mpeg .iso .rar .zip .ace delay_pools 1 # delay_class 1 2 delay_access 1 allow Words50 !Hosts90 delay_parameters 1 -1/-1 1000/10000 # По този начин ще ограничим всички потребители освен 10.42.9.2 да теглят mp3 и подобни със скорост 1000 байта/с. 4. Заключение При направените тестове с 2 правила в iptables на AMD K6II – 300 Mhz 128 MB RAM 2x RTL8139D бяха измерени Total rates:1648.7 kbytes/sec, 1529.8 packets/sec. При CPU states: 9.0% user 88.2% system 0.0% nice 0.0% iowait 2.6% idle . Iptraf натоварваше с около 20% системата, т.е. е възможно да се постигнат по-добри резултати при неговото изключване. << Мултимедийна станция с Linux | PPPoE и споделяне на интернет достъп >>

Коментари: (общо 27)	Оценени с -1 0 1 2 3 4 5 или повече	[Пълен преглед>>]
[Добави коментар]

• Добра статия [13-04-2004] {1/Неутрален}
• ?!?!?! [13-04-2004] {1/Неутрален}
• Неизчерпателна [13-04-2004] {1/Неутрален}
• Re:bridge [13-04-2004] {1/Неутрален}
• Re:Неизчерпателна [13-04-2004] {1/Неутрален}
• Re:?!?!?! [13-04-2004] {1/Неутрален}
• Страшно ! [13-04-2004] {1/Неутрален}
• Re:Страшно ! [13-04-2004] {1/Неутрален}
• nesto ne raboti?! [13-04-2004] {1/Неутрален}
• При мен има проблем [18-11-2008] {1/Неутрален}
• Хубава статия, точен автор. [13-04-2004] {1/Неутрален}
• popravka, iskam da kaja true [13-04-2004] {1/Неутрален}
• RTL8139 [14-04-2004] {1/Неутрален}
• Много добра идея [14-04-2004] {1/Неутрален}
• много интерсно [14-04-2004] {1/Неутрален}
• re:8139 + attack ?!. [14-04-2004] {1/Неутрален}
• Re:RTL8139 [14-04-2004] {1/Неутрален}
• RE:много интерсно [14-04-2004] {1/Неутрален}
• Re:nesto ne raboti?! [14-04-2004] {1/Неутрален}
• Допълнения [14-04-2004] {1/Неутрален}
• Re:Допълнения [14-04-2004] {1/Неутрален}
• Otlichna rabota ! [14-04-2004] {1/Неутрален}
• Realtek RTL8139 Family PCI Fast Ethernet N [5-05-2004] {1/Неутрален}
• Re:Realtek RTL8139 [13-05-2004] {1/Неутрален}
• Наблюдения [29-06-2004] {1/Неутрален}
• Re:Наблюдения [23-08-2004] {1/Неутрален}
• търсене? [24-08-2005] {1/Неутрален}