Erinevus lehekülje "OpenBSD tulemüür" redaktsioonide vahel
Allikas: Kuutõrvaja
(→Ülesandepüstitus) |
|||
| 15. rida: | 15. rida: | ||
internet | internet | ||
| + | | default gw, 172.16.1.18 | ||
| | | | ||
| fxp0, 172.16.1.17/28 | | fxp0, 172.16.1.17/28 | ||
| 29. rida: | 30. rida: | ||
ning peavad olema täidetud sellised nõuded | ning peavad olema täidetud sellised nõuded | ||
| − | # Kohtvõrgu osast KALAKE, kus asuvad kasutajate töökohaarvutid piiramatult avalikku internetti ning DMZ võrku. | + | # Kohtvõrgu osast KALAKE, kus asuvad kasutajate töökohaarvutid pääseb piiramatult avalikku internetti ning DMZ võrku. |
# Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde. | # Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde. | ||
# DMZ võrgust ei saa algatada ühendusti kuskil suunas. | # DMZ võrgust ei saa algatada ühendusti kuskil suunas. | ||
# Tulemüüri kohtvõrgu ja DMZ võrguliidestel töötab nimeserveri teenus. | # Tulemüüri kohtvõrgu ja DMZ võrguliidestel töötab nimeserveri teenus. | ||
| + | # Tulemüüris tehakse NAT'i DMZ ning KALAKE võrgus paiknevatele arvutitele. | ||
| + | # DMZ ja KALAKE võrgu arvutite vaikelüüsiks ning nimeserveriks on vastavalt 10.0.1.254 ja 192.168.1.254. | ||
| + | |||
| + | ===Tulemüüri võrgu seadistamine=== | ||
| + | |||
| + | Peale tulemüüri paigaldamist, tuleks tulemüür füüsiliselt internetist lahti ühendada, seadistada käsitsi võrguseadmetele joonisel toodud aadressid, veel parem, veenduda, et eksisteerivad sellise sisuga järgnevad failid | ||
| + | |||
| + | # cat /etc/hostname.fxp0 | ||
| + | inet 172.16.1.17 255.255.255.240 NONE | ||
| + | # cat /etc/hostname.rl0 | ||
| + | inet 10.0.1.254 255.255.255.0 NONE | ||
| + | # cat /etc/hostname.em0 | ||
| + | inet 192.168.1.254 255.255.255.0 NONE | ||
| + | # cat /etc/mygate | ||
| + | 172.16.1.18 | ||
| + | # cat /etc/resolv.conf | ||
| + | lookup file bind | ||
| + | 127.0.0.1 | ||
| + | |||
| + | ühendada külge DMZ ja KALAKE kohtvõrgust mõni arvuti ning veenduda, et kui paketifilter on välja lülitatud | ||
| + | |||
| + | # pfctl -d | ||
| + | |||
| + | ruuting töötab. Seda võiks kontrollida nt ping programmi abil. | ||
| + | |||
| + | === | ||
Redaktsioon: 4. august 2007, kell 22:31
Sissejuhatus
OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. OpenBSD tulemüüril (ruuteril) on muu hulgas sellised omadused
- liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
- liikluse prioritiseerimine - altq
- koormusjaotur - pf
- statistika ja andmete analüüsiks kogumise vahendid (pfctl, pftop, pfstat, pflogd, tcpdump)
- VPN - IPsec, stunnel
- redundantse tulemüüri klustri võimalus - pfsync (koos sessioonide edasiandmisega)
Ülesandepüstitus
Tulemüüri seadistamine algab sellest, et võimalikult täpselt ette kujutada, millist tulemust saavutada soovitakse. Olgu käesoleva pala kontekstis tegu sellise ülesandepüstitusega, mida iseloomustab skeem
internet
| default gw, 172.16.1.18
|
| fxp0, 172.16.1.17/28
__|__
| | rl0, 10.0.1.254/24
| |------ DMZ 10.0.1.0/24 -----
|_____|
|
| em0, 192.168.1.254/24
|
|
|_______ KALAKE - 192.168.1.0/24 _________
ning peavad olema täidetud sellised nõuded
- Kohtvõrgu osast KALAKE, kus asuvad kasutajate töökohaarvutid pääseb piiramatult avalikku internetti ning DMZ võrku.
- Avalikust internetist peab pääsema ainult DMZ võrgus töötava veebiserveri juurde.
- DMZ võrgust ei saa algatada ühendusti kuskil suunas.
- Tulemüüri kohtvõrgu ja DMZ võrguliidestel töötab nimeserveri teenus.
- Tulemüüris tehakse NAT'i DMZ ning KALAKE võrgus paiknevatele arvutitele.
- DMZ ja KALAKE võrgu arvutite vaikelüüsiks ning nimeserveriks on vastavalt 10.0.1.254 ja 192.168.1.254.
Tulemüüri võrgu seadistamine
Peale tulemüüri paigaldamist, tuleks tulemüür füüsiliselt internetist lahti ühendada, seadistada käsitsi võrguseadmetele joonisel toodud aadressid, veel parem, veenduda, et eksisteerivad sellise sisuga järgnevad failid
# cat /etc/hostname.fxp0 inet 172.16.1.17 255.255.255.240 NONE # cat /etc/hostname.rl0 inet 10.0.1.254 255.255.255.0 NONE # cat /etc/hostname.em0 inet 192.168.1.254 255.255.255.0 NONE # cat /etc/mygate 172.16.1.18 # cat /etc/resolv.conf lookup file bind 127.0.0.1
ühendada külge DMZ ja KALAKE kohtvõrgust mõni arvuti ning veenduda, et kui paketifilter on välja lülitatud
# pfctl -d
ruuting töötab. Seda võiks kontrollida nt ping programmi abil.
