Mitme välisühendusega tulemüür
Eesmärk
Olgu eesmärgiks ühendada ühe tulemüüri abil internetiga kaks privaateset võrku, kusjuures üks privaatne võrk kasutab ühte ja teine teist nö välisühendust
.......................... TEENUSEPAKKUJA
| VÕRK ......................
__|__ |
| | |
| R1 | teenusepakkuja ruuter |
|_____| __|__
| gw - 192.168.102.33 | |
| | R2 |
| |_____| teenusepakkuja ruuter
| |
| internet (AVALIK_TOODANG) | gw - 192.168.103.25
-|-------------------------------|- |
192.168.102.32/28 | internet (AVALIK_KOHTVORK) |
| -|-----------------------------------|--
| | 192.168.103.24/29
| |
192.168.102.34 - em0 _|___|_ em1 - 192.168.103.26
| |
| |
| |
| |
|_______|
10.0.6.1 - em2 | | em3 - 172.16.2.1
| |
| | KOHTVORK - 172.16.2.0/24
| -|--------------------|------------|--
TOODANG - 10.0.6.0/24 | | |
-------|---------|---------------|- __|__ __|__
| | | | | |
__|__ __|__ |_____| |_____|
| | | | intraneti www töökohaarvuti
|_____| |_____| 172.16.2.143 172.16.2.200
www smtp
.6.90 .6.200
Mitme välisühenduse puhul lisanduvad nö tavalise tulemüüri seadistamisele lisaks sellised küsimused
- millisest sisemisest võrgust lähtuvad paketid väljuvad millise avaliku interneti poolse võrguseadme kaudu
- kas pöördudes kohtvõrgust toodangu teenuse poole vastava avaliku aadressiga käib liiklus otse läbi tulemüüri või ringiga läbi avaliku interneti
Olgu antud juhul otsustatud, et läbi tulemüüri toimub liiklus selliselt
- TOODANG - toodanguvõrk, kus asuvad avalikke teenuseid pakkuvad serverid
- AVALIK_TOODANG - internetist serverite poole pöördumine ja serveritest internetti pöördumine ruuditakse läbi selle võrgu ja teenusepakkuja R1 ruuteri
- KOHTVORK - töötajate töökohaarvutite ja kohtvõrgu serverite võrk
- AVALIK_KOHTVORK - kohtvõrgust internetti pöördumine ja internetist kohtvõrgu serverite poole pöördumine ruuditakse läbi selle võrgu ja teenusepakkuja R2 ruuteri
Tulemüür on liikluse lähte või sihtpunkt
Sissepääs tulemüüri, R1 kaudu
- haldusligipääs ssh, 22/tcp, piiratud ip aadressidelt
Väljapääs tulemüürist, R1 kaudu
- kellaaeg ntp, 123/udp
- nimeteenus, 53/udp,tcp
- süsteemsed teated smtp, 25/tcp
- tarkvara paigaldamine ftp serverist, 80/tcp
Tulemüüri vaikelüüs on R1, 192.168.102.33.
Tulemüürist läbipääs
Läbipaas TOODANG võrgust AVALIK võrku (ja R1 ruuteri kaudu internetti)
- kellaaeg ntp, 192.168.38.1:123/udp
- nimeteenus, 192.168.96.222:53/udp,tcp
- süsteemsed teated smtp, 192.168.32.85:25/tcp
- ocsp, 192.168.42.42:80/tcp
Läbipääs AVALIK võrgust (ja R1 ruuteri kaudu internetist) TOODANG võrku
- www, 192.168.102.35:80,443/tcp -> 10.0.6.90:80,443/tcp
- smtp, 192.168.102.35:25/tcp -> 10.0.6.200:25/tcp
Läbipääs KOHTVORK võrgust AVALIK_KOHTVORK võrku (ja R2 ruuteri kaudu internetti)
- kellaaeg ntp, 192.168.38.1:123/udp
- nimeteenus, 192.168.96.222:53/udp,tcp
- süsteemsed teated smtp, 192.168.32.85:25/tcp
- ocsp, 192.168.42.42:80/tcp
Läbipääs AVALIK_KOHTVORK võrgust (ja R2 ruuteri kaudu internetist) KOHTVORK võrku
- intraneti www, 192.168.103.26:443/tcp -> 172.16.2.143:443/tcp
Läbipääs KOHVORK võrgust otse tulemüüri kaudu TOODANG võrgu teenustele ning TOODANG teenuste keskkonnale haldusligipääs
- www, 172.16.2.0/24 -> 192.168.102.35:80,443/tcp -> 10.0.6.90:80,443/tcp
- smtp, 172.16.2.0/24 -> 192.168.102.35:25/tcp -> 10.0.6.200:25/tcp
- ssh, 172.16.2.0/24 -> 10.0.6.0/24:22/tcp
