Szerverek elé tűzfal hogyan

Hálózatok általános

Sziasztok!

Két kérdésem lenne, amiből az első csak statisztikai jellegű.

1.)
Szervereitek elé hogyan van konfigurálva a tűzfal?

a.)A tűzfal külső hálókártyáján a belső szerverek külső ipjei virtuálban felhúzva, a tűzfal natol belső hálóra, szerverenként, portoknént, irányonként forwardban szűrve a belső hálós forgalmat.

b.)A tűzfal külső hálókártyán a belső szerverek külső ipjei virtuálban felhúzva, a tűzfal nem natol, csak forwardban portonként, irányonként szűri a külső ip-s átmenő forgalmat.

2.)
A tűzfal külső hálókártyájára több virtuál ip van felhúzva (eth0:0, eth0:1, stb.) akkor a tűzfali lokál processz kifele melyiket fogja használni, pontosabban hogy lehet beállítani hogy melyiket használja?

Köszi a válaszokat.

  • 2807 megtekintés

( mauzi v | 2010. 12. 03., p – 11:34 )

> A tűzfal külső hálókártyáján a belső szerverek külső ipjei virtuálban felhúzva

hogy mivan? :)

A tűzfalban két hálókártya van, egyik a külső, a világhoz csatlakozik, másik a belső, a védett szerverek hálója.
Mivel a belső gépeknek külön külön van külső ip-je, amit a tűzfalnak meg kell fognia, ezért a tűzfal külső hálókártyája több ip-re is hallgat.

Mint fent:
eth0:0 -> 195.228.86.x1
eth0:1 -> 195.228.86.x2, stb.

Ha jól értem a problémát, akkor valami ilyesmit képzelnék el: (ezért kérdeztem, hogy a szolgáltató tudja/akarja-e routolni)

eth0= 195.228.86.x1
eth1= 195.228.86.x2
server1= 195.228.86.x3
stb...
Majd beállítod a routing táblát, tűzfalat.

net---------eth0_fw_eth2-----local van? (192.168.x.x)
|
eth1|
|
switch
server1 server2 server3

Kicsit elcsúszik, az eth1 az fw alatt van

Jelenleg így néz ki:

ISP----[ETH0 tűzfal ETH1]----szerverek(192.168.0.1, 192.168.0.2, stb.)

Van 16 publikus ip-címünk, ami majdnem 1:1 át van natolva a belső hálóra.(ip, port, irány szerint szűrve.)
195.228.86.x1 -> 192.168.0.1
195.228.86.x2 -> 192.168.0.2
stb.

A tűzfal külső kártyája hallgat az összes publikus ip címre.(ETH0)
Belső szervereknek a tűzfal belső kártyájának (ETH1) ip-je átjáróként van megadva.

A szolgáltatónak nem kell routolnia. A nem igazi ip címekre proxy arp-t csinálsz a szolgáltató felé néző interfészen, így ő azt hiszi, hogy a tűzfaladnak kell küldenie az azokra az ip címekre menő forgalmakat, viszont a tűzfalad mégsem hiszi, hogy az övéi lennének azok a címek, szépen tudsz rájuk mondjuk statikus route-okat felvenni a tűzfalon, és a benti gépek felé forwardolni, ahogy jólesik.

proxy arp: ip neigh add proxy a.b.c.d dev eth0,
ezután az eth0-on a gép válaszol az arp-kre, mintha a saját címe lenne az a.b.c.d

Mivel a belső gépeknek külön külön van külső ip-je, amit a tűzfalnak meg kell fognia, ezért a tűzfal külső hálókártyája több ip-re is hallgat.

Amely tuzfalakat en lattam, azokra ez nem igaz. Btw. nem tul pikans az, hogy a tuzfalon fel van huzva az 1.2.3.4 cím, amit aztan tovabbitani kellene az _1.2.3.4_ címre, azaz egy mogotte levo gepre? :-)

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

( vl v | 2010. 12. 03., p – 11:43 )

a tűzfali lokál processz kifele melyiket fogja használni, pontosabban hogy lehet beállítani hogy melyiket használja?

bind()

Minden program megteheti, hogy kiválasztja, hogy melyik ip címről menjen ki a forgalma. A programok döntő többségébe ez a lehetőség nincs belekódolva, ergó nem tudják kihasználni.

Egyébiránt 'ip rule' parancsokkal, ill. az 'iptables -t mangle' fwmark opciójával el lehet érni, hogy a valamilyen szabálynak megfelelő, kifelé induló forgalom valamelyik ip cimről menjen kifelé.

( ras2 | 2011. 01. 06., cs – 22:31 )

Udv!

Nem közvetlenül a témához tartozik de mivel tüzfal es szerverek elé "van" a következőt kérdezném:

Hasonló módszer mint a fent emlitett, több külső, több belső cím, iptables, működik ezzel nincs baj.

Van egy dinamikus bannolási szabály, ami annyit tesz ha valaki tul sokszor kapcsolodik egy megadott kulso ip/portra akkor egy idore elkoszonuk töle, aztan ha megnyugszik, es egy ideig nem probalkozik akkor ujra johet.
Viszont azért a logban figyeljuk hogy kik lettek bannolnva, es hogy mennyit probalkoznak.
Van egy kitarto valallkozonk aki rendszeresen szeretne kapcsolatot teremteni, kb percenkent vagy 10-et. De a logban ennek ellenere latom, hogy csak nem hagyja abba a probalkozast, es mar a tobb szazezredik kapcsolodasi kiserletnel jar. A bejovő csomagot eldobja az iptables, nem jut at semmi, ezzel nincs gond. De akkor is latom, hogy probalkozik. Mit lehet ezzel kezdeni?

Korábban ez volt:
-A dropped_with -p tcp -j REJECT --reject-with tcp-reset
-A dropped_with -p udp -j REJECT --reject-with icmp-port-unreachable
De most sima -j drop-ra tettem.

Mashogy kene eldobni?

Thx