Firewall mezi dvěma síťovkama v jedné síti

TKL · « **Odpověď #15 kdy:** 18. 11. 2015, 13:47:40 »

Doporučuji použít Shorewall - nástavba nad IPtables: http://shorewall.net/

Pravidla se v něm definují mnohem lidštější řečí, než když se tvoří přímo.
Shorewall také kontroluje, zda v pravidlech není chyba a pokud ano, změny neuplatní, namísto toho napíše do logu co je špatně.

Zjednodušený princip:

- definuješ zóny
- definuješ základní politiku
- definuješ vlastní pravidla

/etc/init.d/shorewall restart

a máš hotovo.
Před deseti lety jsem o Shorewallu napsal něco pro Linux Express, z velké části by to pořád mělo platit (až na to urpmi, v té době byla Mandriva ještě v kurzu :-) ):

http://www.linuxexpres.cz/praxe/shorewall-1-dil-1
http://www.linuxexpres.cz/praxe/shorewall-2-dil

Reklama

TaPavel · « **Odpověď #16 kdy:** 18. 11. 2015, 21:41:03 »

Dobrý den, děkuji všem za odpovědi. Ještě jsem zapomněl, že bude nutné z venkovní sítě (pro mě 192.168.1.něco) propouštět pakety na příslušné porty (22, 80, 443) na další IP ve vnitřní síti, předpokládám, že něco jako forward ... ? pfSense toto také umí? Sháním nějaké železo, bude pfSense podporovat současný hardware (Skylake)? Shorewall používám, ale jen pro jednu síťovku, nejsou mi jasná pravidla a definice těch dvou síťovek ...

Můj email je: hphp@seznam.cz

TKL · « **Odpověď #17 kdy:** 20. 11. 2015, 10:02:21 »

Citace: TaPavel 18. 11. 2015, 21:41:03

Dobrý den, děkuji všem za odpovědi. Ještě jsem zapomněl, že bude nutné z venkovní sítě (pro mě 192.168.1.něco) propouštět pakety na příslušné porty (22, 80, 443) na další IP ve vnitřní síti, předpokládám, že něco jako forward ... ? pfSense toto také umí? Sháním nějaké železo, bude pfSense podporovat současný hardware (Skylake)? Shorewall používám, ale jen pro jednu síťovku, nejsou mi jasná pravidla a definice těch dvou síťovek ...

Můj email je: hphp@seznam.cz

1) Vytvoříte bridge: https://wiki.debian.org/BridgeNetworkConnections
2) pravidla pak aplikujete na zónu, svázanou se zařízením br0, tzn. stejně, jako by tam byl jen jeden ethernet.

TaPavel · « **Odpověď #18 kdy:** 20. 11. 2015, 22:03:41 »

Dobrý den, díky za radu. A lze přes to nastavit pravidla i pro forward příslušných portů (80,443) ?

TKL · « **Odpověď #19 kdy:** 22. 11. 2015, 15:02:58 »

Citace: TaPavel 20. 11. 2015, 22:03:41

Dobrý den, díky za radu. A lze přes to nastavit pravidla i pro forward příslušných portů (80,443) ?

Je to transparentní bridge, takže data skrz něj protékají tam a zpět (pokud je nezpracují nějaká pravidla firewallu).
Forwarding nastavíte na routeru.

Reklama

TaPavel · « **Odpověď #20 kdy:** 22. 11. 2015, 21:54:50 »

Dobrý den, děkuji za cenné rady, vše funguje. Děkuji moc všem zúčastněným, moc mi pomohl uživatel TKL, shorewall byla má cesta.

TKL · « **Odpověď #21 kdy:** 23. 11. 2015, 09:10:54 »

Citace: TaPavel 22. 11. 2015, 21:54:50

Dobrý den, děkuji za cenné rady, vše funguje. Děkuji moc všem zúčastněným, moc mi pomohl uživatel TKL, shorewall byla má cesta.

Super, není vůbec zač, rád jsem pomohl.

Firewall mezi dvěma síťovkama v jedné síti

TKL

Re:Firewall mezi dvěma síťovkama v jedné síti

Reklama

TaPavel

Re:Firewall mezi dvěma síťovkama v jedné síti

TKL

Re:Firewall mezi dvěma síťovkama v jedné síti

TaPavel

Re:Firewall mezi dvěma síťovkama v jedné síti

TKL

Re:Firewall mezi dvěma síťovkama v jedné síti

Reklama

TaPavel

Re:Firewall mezi dvěma síťovkama v jedné síti

TKL

Re:Firewall mezi dvěma síťovkama v jedné síti