Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: TaPavel 17. 11. 2015, 19:35:58

Název: Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 17. 11. 2015, 19:35:58

Dobrý den, mám dotaz, potřebuji nakopnout "správným" směrem - ve zkratce: v jedné organizaci jsou do jedné sítě připojené počítač v kancelářích, informační kiosky a hlavně wifi pro leckoho. To vše přes jedno připojení do internetu - a to je ten problém. Potřeboval bych radu jak nakonfigutovat firewall (obyčejný počítač s Linuxem se dvěma síťovkama), který bude před hlavním routerem a bude dle zadaných pravidel omezovat přístup pro různé skupiny ("vnitřních" 192.168.1.0/24) IP adres. Bude to pouze firewall, router včetně NATování dělá HW zařízení dále. Potřebuji "nakopnout" správným směrem ... Děkuji moc. Pavel.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: samalama 17. 11. 2015, 19:44:20

daj do gugla: "sprava pocitacovych siti <tvoje_mesto>"

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 17. 11. 2015, 19:48:12

Chci si to udělat sám ...

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: samalama 17. 11. 2015, 20:16:07

tak potom to zmen na "linux firewall how to"

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: JardaP . 17. 11. 2015, 20:27:43

To, co hledate, je asi DMZ.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 17. 11. 2015, 21:09:49

Firewall nastavit umím, ale na jedné síťovce. Jde mi o ideu jak to nastavit pro 2x NIC, nechci hotové řešení.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: johanson14 17. 11. 2015, 21:26:00

Vyskusaj podla tohoto:
http://deja-vix.sk/sysadmin/firewall.html

Pouzivam 10+ rokov prave tak ako to chces.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 17. 11. 2015, 21:54:13

Díky moc.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: Fantomas 17. 11. 2015, 22:53:19

iptables, nastuduj a makej :-)

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: Tomáš Rous 18. 11. 2015, 08:30:20

DMZ + vlany

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: fedorac 18. 11. 2015, 09:24:13

chtel jsem odkazat na http://m0n0.ch/wall/index.php (http://m0n0.ch/wall/index.php) ale tohle nezni moc optimisticky : 02/15/2015 - End of the m0n0wall project
After 12 years, the m0n0wall project has officially ended. No development will be done anymore, and there will be no further releases.

nicmene je tam odkaz na nasledovniky :
http://m0n0.ch/wall/freeze_announcement.php (http://m0n0.ch/wall/freeze_announcement.php)

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: smoofy 18. 11. 2015, 09:57:35

Jestli chces tak napis kontakt a neco vymyslime.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: Lol Phirae 18. 11. 2015, 11:32:45

Citace: fedorac  18. 11. 2015, 09:24:13

chtel jsem odkazat na http://m0n0.ch/wall/index.php (http://m0n0.ch/wall/index.php) ale tohle nezni moc optimisticky : 02/15/2015 - End of the m0n0wall project
After 12 years, the m0n0wall project has officially ended. No development will be done anymore, and there will be no further releases.

Naklikej si to v pfSense, OPNSense nebo cemkoliv podobnem.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: @l@n 18. 11. 2015, 12:33:58

Ahoj,

Mějme bridge, právě na tom bridge chci omezovat provoz.
Například zahazovat některé ICMP, nepouštět skrz broadcasty z některých zařízení a obecně omezit to, co projde na druhou stranu na základě zdrojové IP adresy nebo MAC.

Je na to nějaké pěkné How-To? Jak jednoduchý to chci? Aby to pochopil i LISTR?
Osobně si firewall nastavit zvládnu, ale na bridge (Forward) jsem to filtrování nenastavoval.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: smoofy 18. 11. 2015, 13:05:41

Pekne sis to popsal. Presne tak to udelej. Chapes to uplne dobre, nepotrebujes zadne how-to ;)

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TKL 18. 11. 2015, 13:47:40

Doporučuji použít Shorewall - nástavba nad IPtables: http://shorewall.net/

Pravidla se v něm definují mnohem lidštější řečí, než když se tvoří přímo.
Shorewall také kontroluje, zda v pravidlech není chyba a pokud ano, změny neuplatní, namísto toho napíše do logu co je špatně.

Zjednodušený princip:

- definuješ zóny
- definuješ základní politiku
- definuješ vlastní pravidla

/etc/init.d/shorewall restart

a máš hotovo.
Před deseti lety jsem o Shorewallu napsal něco pro Linux Express, z velké části by to pořád mělo platit (až na to urpmi, v té době byla Mandriva ještě v kurzu :-) ):

http://www.linuxexpres.cz/praxe/shorewall-1-dil-1
http://www.linuxexpres.cz/praxe/shorewall-2-dil

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 18. 11. 2015, 21:41:03

Dobrý den, děkuji všem za odpovědi. Ještě jsem zapomněl, že bude nutné z venkovní sítě (pro mě 192.168.1.něco) propouštět pakety na příslušné porty (22, 80, 443) na další IP ve vnitřní síti, předpokládám, že něco jako forward ... ? pfSense toto také umí? Sháním nějaké železo, bude pfSense podporovat současný hardware (Skylake)? Shorewall používám, ale jen pro jednu síťovku, nejsou mi jasná pravidla a definice těch dvou síťovek ...

Můj email je: hphp@seznam.cz

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TKL 20. 11. 2015, 10:02:21

Citace: TaPavel  18. 11. 2015, 21:41:03

Dobrý den, děkuji všem za odpovědi. Ještě jsem zapomněl, že bude nutné z venkovní sítě (pro mě 192.168.1.něco) propouštět pakety na příslušné porty (22, 80, 443) na další IP ve vnitřní síti, předpokládám, že něco jako forward ... ? pfSense toto také umí? Sháním nějaké železo, bude pfSense podporovat současný hardware (Skylake)? Shorewall používám, ale jen pro jednu síťovku, nejsou mi jasná pravidla a definice těch dvou síťovek ...

Můj email je: hphp@seznam.cz

1) Vytvoříte bridge: https://wiki.debian.org/BridgeNetworkConnections
2) pravidla pak aplikujete na zónu, svázanou se zařízením br0, tzn. stejně, jako by tam byl jen jeden ethernet.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 20. 11. 2015, 22:03:41

Dobrý den, díky za radu. A lze přes to nastavit pravidla i pro forward příslušných portů (80,443) ?

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TKL 22. 11. 2015, 15:02:58

Citace: TaPavel  20. 11. 2015, 22:03:41

Dobrý den, díky za radu. A lze přes to nastavit pravidla i pro forward příslušných portů (80,443) ?

Je to transparentní bridge, takže data skrz něj protékají tam a zpět (pokud je nezpracují nějaká pravidla firewallu).
Forwarding nastavíte na routeru.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TaPavel 22. 11. 2015, 21:54:50

Dobrý den, děkuji za cenné rady, vše funguje. Děkuji moc všem zúčastněným, moc mi pomohl uživatel TKL, shorewall byla má cesta.

Název: Re:Firewall mezi dvěma síťovkama v jedné síti
Přispěvatel: TKL 23. 11. 2015, 09:10:54

Citace: TaPavel  22. 11. 2015, 21:54:50

Dobrý den, děkuji za cenné rady, vše funguje. Děkuji moc všem zúčastněným, moc mi pomohl uživatel TKL, shorewall byla má cesta.

Super, není vůbec zač, rád jsem pomohl.