Erinevus lehekülje "OpenBSD tulemüür" redaktsioonide vahel
Allikas: Kuutõrvaja
(→Ülesandepüstitus) |
(→Ülesandepüstitus) |
||
| 12. rida: | 12. rida: | ||
===Ülesandepüstitus=== | ===Ülesandepüstitus=== | ||
| − | Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega | + | Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem |
| − | + | internet | |
| − | + | | | |
| − | + | | fxp0, 172.16.1.17/28 | |
| − | + | __|__ | |
| − | + | | | | |
| − | + | | |------ rl0, 192.168.2.254/24, DMZ ----- | |
| − | + | |_____| | |
| − | 10.0.1.254/24 | | 192.168.1.254/24 | + | | | |
| − | + | xl0, 10.0.1.254/24 | | em0, 192.168.1.254/24 | |
| − | + | | | | |
| − | + | | | | |
| + | | |_______ wire - 192.168.1.0/24 _________ | ||
| + | | | ||
| + | |_________ wifi - 10.0.1.0/24 __________ | ||
| + | |||
| + | ning peavad olema täidetud sellised nõuded | ||
| + | |||
| + | # Kohtvõrgu osast, kus asuvad kasutajate töökohaarvutid ning mis jaguneb kaheks osaks, traadiga võrk ning wifi peab pääsema piiramatult avalikku internetti ning DMZ võrku. | ||
| + | # Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde. | ||
| + | # DMZ võrgust ei saa algatada ühendusti kuskil suunas. | ||
===Võrguseadmete seadistamine=== | ===Võrguseadmete seadistamine=== | ||
Tulemüüri seadistamine algab võrguseadmete kasutuselevõtmisega | Tulemüüri seadistamine algab võrguseadmete kasutuselevõtmisega | ||
Redaktsioon: 29. juuli 2007, kell 20:05
Sissejuhatus
OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. OpenBSD tulemüüril (ruuteril) on muu hulgas sellised omadused
- liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
- liikluse prioritiseerimine - altq
- koormusjaotur - pf
- statistika ja andmete analüüsiks kogumise vahendid (pfctl, pftop, pfstat, pflogd, tcpdump)
- VPN - IPsec, stunnel
- redundantse tulemüüri klustri võimalus - pfsync (koos sessioonide edasiandmisega)
Ülesandepüstitus
Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem
internet
|
| fxp0, 172.16.1.17/28
__|__
| |
| |------ rl0, 192.168.2.254/24, DMZ -----
|_____|
| |
xl0, 10.0.1.254/24 | | em0, 192.168.1.254/24
| |
| |
| |_______ wire - 192.168.1.0/24 _________
|
|_________ wifi - 10.0.1.0/24 __________
ning peavad olema täidetud sellised nõuded
- Kohtvõrgu osast, kus asuvad kasutajate töökohaarvutid ning mis jaguneb kaheks osaks, traadiga võrk ning wifi peab pääsema piiramatult avalikku internetti ning DMZ võrku.
- Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
- DMZ võrgust ei saa algatada ühendusti kuskil suunas.
Võrguseadmete seadistamine
Tulemüüri seadistamine algab võrguseadmete kasutuselevõtmisega
