Erinevus lehekülje "OpenBSD tulemüür" redaktsioonide vahel

Sissejuhatus

OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. OpenBSD tulemüüril (ruuteril) on muu hulgas sellised omadused

• liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
• liikluse prioritiseerimine - altq
• koormusjaotur - pf
• statistika ja andmete analüüsiks kogumise vahendid (pfctl, pftop, pfstat, pflogd, tcpdump)
• VPN - IPsec, stunnel
• redundantse tulemüüri klustri võimalus - pfsync (koos sessioonide edasiandmisega)

Ülesandepüstitus

Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem

                  internet
                     |
                     |   fxp0, 172.16.1.17/28
                   __|__  
                  |     |
                  |     |------ rl0, 192.168.2.254/24, DMZ -----
                  |_____|
                    | |
 xl0, 10.0.1.254/24 | |   em0, 192.168.1.254/24
                    | |
                    | |
                    | |_______ wire - 192.168.1.0/24 _________
                    | 
                    |_________ wifi - 10.0.1.0/24 __________

ning peavad olema täidetud sellised nõuded

1. Kohtvõrgu osast, kus asuvad kasutajate töökohaarvutid ning mis jaguneb kaheks osaks, traadiga võrk ning wifi peab pääsema piiramatult avalikku internetti ning DMZ võrku.
2. Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
3. DMZ võrgust ei saa algatada ühendusti kuskil suunas.
4. Wifi võrgust ei pääse traadiga kohtvõrku, samuti mitte vastupidi.

Võrguseadmete seadistamine

Tulemüüri seadistamine algab võrguseadmete kasutuselevõtmisega

VPN - IPsec

Olgu kuskil internetis teine sarnane võrk ('TUVIKE') st OpenBSD tulemüür ning selle taga kohtvõrk ning olukord, et teise kohtvõrgu TUVIKE teenustele, nt failiserver, usaldatakse ligi esimese võrgu KALAKE kasutajaid.

                      _______ wire - 192.168.3.0/24 ________
                     |
                     |   
                   __|__ em0 192.168.3.254/24
                  |     |
       TUVIKE     |     |
                  |_____|
                     |   fxp0 172.16.2.1/28
                     |
                  internet               
                     |   
                   __|__ fxp0 172.16.1.17/28 
                  |     |
       KALAKE     |     |
                  |_____|
                     |   em0 192.168.1.254/24
                     |   
                     |_______ wire - 192.168.1.0/24 _________

Failiserverile (ja võimalikele muudele TUVIKE võrgu teenustele) ligipääsu saaks korraldada võrgu KALAKE kasutajatele põhimõtteliselt kahel viisil

• TUVIKE kohtvõrgu tulemüüri välisel seadmel porte sobivalt suunates sisevõrgu serverile
• moodustades virtuaalse võrgu (VPN), näiteks IPsec tehnika abil

Järgnevalt kirjeldame kuidas toimub IPsec abil VPN võrgu moodustamine ning selle kasutamine. IPsec abil moodustub üle avaliku interneti kahe tulemüüri vahel IP kihi tasemel tunnel, mis praktiliselt tähendab seda, et näib nagu KALAKE ja TUVIKE kohtvõrgud oleksid ühendatud sama tulemüüri külge. Nt, KALAKE võrgust saab otse pöörduda kasutades TUVIKE kohtvõrgu failiserveri aadressi kasutades TUVIKE kohtvõrgu failiserveri poole.

IPsec tunneli moodustamiseks tuleb KALAKE tulemüüris moodustada fail /etc/ipsec.conf sisuga

ike esp from 192.168.1.0/24 to 192.168.3.0/24 peer 172.16.2.1

ning TUVIKE tulemüüris fail /etc/ipsec.conf sisuga

ike esp from 192.168.3.0/24 to 192.168.1.0/24 peer 172.16.1.17

Ning kopeerida KALEKE tulemüüri failisüsteemist fail /etc/isakmpd/local.pub TUVIKE tulemüüri failiks

/etc/isakmpd/pubkeys/ipv4/172.16.1.17

ning kopeerida TUVIKE tulemüüri failisüsteemist fail /etc/isakmpd/local.pub KALAKE tulemüüri failiks

/etc/isakmpd/pubkeys/ipv4/172.16.2.1