Ruutiv mitmeharuline tulemüür

Allikas: Kuutõrvaja
Redaktsioon seisuga 10. august 2011, kell 13:04 kasutajalt Jj (arutelu | kaastöö)

Mall:Redigeeri

Tulemüüri ja võrgu konseptsioon

On asutus Loomaaed mil domeen zoo.tartu.ee. Asutusele on ISP poolt terve C klass IP aadresse. See on omakorda jagatud veel mitmeks eri võrguks. On kontorivõrk, on serverite võrk, on majutatud serverite võrk (mitmesugused hobiteadlaste projektid, loodusuurijate serverid ja loomade jälgimise kaamerad jms). Lisaks kõigele sellele on olemas veel NATitud sisevõrk ning kasutust leiab uus edumeelne protokoll IPV6.

Asutusel on olemas server millel piisavalt CPU jõudlust ning kokku on masinas ülesannete täitmiseks neli võrgukaarti.

Võrgu poliitika

* Serverivõrk
 - seest välja ühendused oleksid kõik lahti
 - väljast sisse kõikühendused lahti va serveritele:
   - temperatuur.zoo.edu.ee ja monitoorija.zoo.edu.ee

(viimased kaks on vanad legacy serverid mille portidele ei tahaks lubada välismaad) 

* Kontorivõrk
 - Seest välja ühendused kõik lahti
 - väljast sisse liikuvad kõik ühendused kinni va:
   - kontor.zoo.edu.ee
   - Serverivõrk

Lisaks ei jagaks DHCP teenus edaspidi enam läpakatele ja ajutistele arvutitele väliseid IP aadresse vaid sisemisi NATitavaid aadresse. 

* Majutatud võrk
 - sees välja kõik lahti
 - väljas sisse kõik lahti

Lahendus ja pf.conf faili seadistus

kasutusel võimalikult palju tabeleid kuna tabelid tõenäoliselt eraldi reeglitest kiiremad. Vaja testida ALTQ lahendust, et piirata vajadusel majutatud võrgu masinate ühenduskiirusi. Blacklist kuhu saab "halbu" aadresse lisada.

NB! Tähele tasub panna, et võrreldes tavalise ühe võrgukaardiga tulemüüriga on reeglid nö tagurpidi. Järgnevalt kirjeldaks põgusalt reegleid mis neile võrkudele saab kirjutatud. Põhimõte oleks mitte kirjutada iga masina kohta käivaid piiranguid üldisesse tulemüüri vaid jätta spetsiifilised porte piiravad reeglid edasi olema igas masinas eraldi Kesksest tulemüürist kehtestatakse üldised piirangud - või lubamised.

PS!: Reeglite süntaks on järgmine: 

[pass/block(drop/return)] [in/out] [log] [quick] [on interface] [inet/inet6] \
[proto <tcp/udp/icmp/icmp6>] [from src_addr [port src_port]] [to dst_addr [port dst_port]] \
[flags tcp_flags] [state]
Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Ruutiv_mitmeharuline_tulemüür&oldid=24840"