OpenBSD tulemüür: erinevus redaktsioonide vahel

Allikas: Kuutõrvaja
Mine navigeerimisribaleMine otsikasti
← Vanem muudatusUuem muudatus →
Imre (arutelu | kaastöö)
13 505 muudatust
Resümee puudub
Imre (arutelu | kaastöö)
13 505 muudatust
Resümee puudub
18. rida: 18. rida:
                       |  fxp0, 172.16.1.17/28
                       |  fxp0, 172.16.1.17/28
                     __|__   
                     __|__   
                   |    |
                   |    | rl0, 10.0.1.254/24
                   |    |------ rl0, 192.168.2.254/24, DMZ -----
                   |    |------ DMZ 10.0.1.0/24 -----
                   |_____|
                   |_____|
                    | |
                      |
  xl0, 10.0.1.254/24 | |  em0, 192.168.1.254/24
                      |  em0, 192.168.1.254/24
                    | |
                      |
                    | |
                      |
                    | |_______ wire - 192.168.1.0/24 _________
                      |_______ KALAKE - 192.168.1.0/24 _________
                    |
                    |_________ wifi - 10.0.1.0/24 __________


ning peavad olema täidetud sellised nõuded
ning peavad olema täidetud sellised nõuded


# Kohtvõrgu osast, kus asuvad kasutajate töökohaarvutid ning mis jaguneb kaheks osaks, traadiga võrk ning wifi peab pääsema piiramatult avalikku internetti ning DMZ võrku.
# Kohtvõrgu osast KALAKE, kus asuvad kasutajate töökohaarvutid piiramatult avalikku internetti ning DMZ võrku.
# Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
# Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
# DMZ võrgust ei saa algatada ühendusti kuskil suunas.
# DMZ võrgust ei saa algatada ühendusti kuskil suunas.
# Wifi võrgust ei pääse traadiga kohtvõrku, samuti mitte vastupidi.
# Tulemüüri kohtvõrgu ja DMZ võrguliidestel töötab nimeserveri teenus.

Redaktsioon: 4. august 2007, kell 19:18

Sissejuhatus

OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. OpenBSD tulemüüril (ruuteril) on muu hulgas sellised omadused

  • liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
  • liikluse prioritiseerimine - altq
  • koormusjaotur - pf
  • statistika ja andmete analüüsiks kogumise vahendid (pfctl, pftop, pfstat, pflogd, tcpdump)
  • VPN - IPsec, stunnel
  • redundantse tulemüüri klustri võimalus - pfsync (koos sessioonide edasiandmisega)

Ülesandepüstitus

Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem 

                  internet
                     |
                     |   fxp0, 172.16.1.17/28
                   __|__  
                  |     |  rl0, 10.0.1.254/24
                  |     |------ DMZ 10.0.1.0/24 -----
                  |_____|
                     |
                     |   em0, 192.168.1.254/24
                     |
                     |
                     |_______ KALAKE - 192.168.1.0/24 _________

ning peavad olema täidetud sellised nõuded

  1. Kohtvõrgu osast KALAKE, kus asuvad kasutajate töökohaarvutid piiramatult avalikku internetti ning DMZ võrku.
  2. Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
  3. DMZ võrgust ei saa algatada ühendusti kuskil suunas.
  4. Tulemüüri kohtvõrgu ja DMZ võrguliidestel töötab nimeserveri teenus.
Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=OpenBSD_tulemüür&oldid=4606"