antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Март 19th, 2010

Опубликовано 19 Март , 2010

Теперь усложним задачу: попробуем «прокинуть порт» внутрь. Или другими словами, анонсировать какой-нибудь сервис наружу МСЭ. Для этого нам понадобится 2 конструкции:
1. Трансляция адреса назначения при обращении снаружи
2. Разрешение инициирования трафика снаружи внутрь МСЭ

Как уже отмечал выше, на Vyatta реализовано 2 основных вида сетевых трансляций: трансляция адреса источника, когда идём наружу МСЭ (inside), и трансляция адреса назначения, когда идём снаружи МСЭ (destination). Разница в том, с какой стороны можно инициировать сессии. В первом случае – изнутри, а во втором – снаружи МСЭ. При этом нам нет необходимости описывать ответные пакеты: при прохождении первого пакета мы запоминаем (кэшируем) трансляцию и ответные пакеты уходят, используя эту запись в кэше.

Итак, для примера попробуем анонсировать наружу web-сервер 10.4.4.100 по порту 80 адреса интерфейса.
Опишем трансляцию адреса назначения. Для этого надо указать, на какой интерфейс мы обращаемся (eth0), на какой адрес и порт, и какой адрес и порт ему соответствует внутри МСЭ:
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 1 комментарий »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »