Erinevus lehekülje "OpenBSD tulemüür" redaktsioonide vahel
Allikas: Kuutõrvaja
(→VPN - IPsec) |
|||
| 44. rida: | 44. rida: | ||
Olgu kuskil internetis teine sarnane võrk ('TUVIKE') st OpenBSD tulemüür ning selle taga kohtvõrk ning olukord, et teise kohtvõrgu TUVIKE teenustele, nt failiserver, usaldatakse ligi esimese võrgu KALAKE kasutajaid. | Olgu kuskil internetis teine sarnane võrk ('TUVIKE') st OpenBSD tulemüür ning selle taga kohtvõrk ning olukord, et teise kohtvõrgu TUVIKE teenustele, nt failiserver, usaldatakse ligi esimese võrgu KALAKE kasutajaid. | ||
| + | |||
| + | _______ wire - 192.168.3.0/24 ________ | ||
| + | | | ||
| + | __|__ fxp0, 192.168.3.254/24 | ||
| + | | | | ||
| + | TUVIKE | | | ||
| + | |_____| | ||
| + | | fxp0, 172.16.2.1/28 | ||
| + | | | ||
| + | internet | ||
| + | | | ||
| + | __|__ fxp0, 172.16.1.17/28 | ||
| + | | | | ||
| + | KALAKE | | | ||
| + | |_____| | ||
| + | | | ||
| + | | em0, 192.168.1.254/24 | ||
| + | | | ||
| + | | | ||
| + | |_______ wire - 192.168.1.0/24 _________ | ||
Redaktsioon: 29. juuli 2007, kell 21:56
Sissejuhatus
OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. OpenBSD tulemüüril (ruuteril) on muu hulgas sellised omadused
- liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
- liikluse prioritiseerimine - altq
- koormusjaotur - pf
- statistika ja andmete analüüsiks kogumise vahendid (pfctl, pftop, pfstat, pflogd, tcpdump)
- VPN - IPsec, stunnel
- redundantse tulemüüri klustri võimalus - pfsync (koos sessioonide edasiandmisega)
Ülesandepüstitus
Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem
internet
|
| fxp0, 172.16.1.17/28
__|__
| |
| |------ rl0, 192.168.2.254/24, DMZ -----
|_____|
| |
xl0, 10.0.1.254/24 | | em0, 192.168.1.254/24
| |
| |
| |_______ wire - 192.168.1.0/24 _________
|
|_________ wifi - 10.0.1.0/24 __________
ning peavad olema täidetud sellised nõuded
- Kohtvõrgu osast, kus asuvad kasutajate töökohaarvutid ning mis jaguneb kaheks osaks, traadiga võrk ning wifi peab pääsema piiramatult avalikku internetti ning DMZ võrku.
- Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
- DMZ võrgust ei saa algatada ühendusti kuskil suunas.
- Wifi võrgust ei pääse traadiga kohtvõrku, samuti mitte vastupidi.
Võrguseadmete seadistamine
Tulemüüri seadistamine algab võrguseadmete kasutuselevõtmisega
VPN - IPsec
Olgu kuskil internetis teine sarnane võrk ('TUVIKE') st OpenBSD tulemüür ning selle taga kohtvõrk ning olukord, et teise kohtvõrgu TUVIKE teenustele, nt failiserver, usaldatakse ligi esimese võrgu KALAKE kasutajaid.
_______ wire - 192.168.3.0/24 ________
|
__|__ fxp0, 192.168.3.254/24
| |
TUVIKE | |
|_____|
| fxp0, 172.16.2.1/28
|
internet
|
__|__ fxp0, 172.16.1.17/28
| |
KALAKE | |
|_____|
|
| em0, 192.168.1.254/24
|
|
|_______ wire - 192.168.1.0/24 _________
