Firewalle i proxy serwery: Konfiguracja zaawansowana.
Następna strona
Poprzednia strona
Spis treści
9. Konfiguracja zaawansowana.
Przedstawiłem jedną konfigurację, którą wypróbowałem przez stworzeniem
tego dokumentu. Przy czym ten zarys powinien wystarczyć dla większości
ludzi. Myślę że poniższy opis zaawansowanych konfiguracji może
rozwiać pozostałe wątpliwości. Jeśli oprócz tego masz jeszcze jakieś
pytania poza tym co opisałem, albo cię to po prostu interesują cię
szczegóły związane ze firewallami i serwerami proxy
możesz przeczytać poniższy fragment.
9.1 Wielkie sieci wymagają położenia nacisku na bezpieczeństwo
Powiedzmy, na przykład, że jesteś szefem milicji obywatelskiej i chcesz
,,usieciowć'' swoją siedzibę. Masz pięćdziesiąt komputerów i 32 nr IP
(5 bitów). Potrzebujesz możliwości dania różnych poziomów dostępu do
sieci ponieważ powierzasz swoim współpracownikom różne zadania. Poza tym
będziesz potrzebował izolacji określonych miejsc w sieci od reszty.
Poziomy dostępu:
Poziom zewnętrzny - ukazywany wszystkim, tutaj werbujesz i zdobywasz
nowych ochotników.
Troop
poziom ten przeznaczony jest dla ludzi którzy otrzymali dostęp z
poziomu zewnętrznego. Tutaj jest miejsce gdzie uczysz o rządzie dusz i
jak zrobić bombę.
Mercenary
Tutaj jest miejsce gdzie naprawdę planujesz chronić.
Tutaj składujesz wszelkie informacje o tym jak rządy trzeciego
świata zamierzają podbić świat, twoje plany dla Newt Gingich, Oklahoma
City, składujesz tajne informacje.
Konfiguracja sieci
Numery IP są ustawione w następujący sposób:
1 numer to 192.168.2.255, będący adresem rozgłoszeniowym
nie używanym
23 z 32 adresów IP jest przydzielonych dla maszyn dostępnych w
Internecie.
1 dodatkowy adres IP został przydzielony Linuxowi
1 dodatkowy adres IP został przydzielony innemu linuxowi
2 numery IP zostały przydzielone routerowi
4 pozostałe pozostają odłączone ale otrzymują nazwy domenowe: paul, ringo,
john, george .
chroniona sieć ma numer 192.168.2.xxx
Teraz budujemy dwie izolowane sieci, każda w innym pokoju. Są one
trasowane przez ekranowany ethernet i są kompletnie niewidoczne z
innych pomieszczeń. Na szczęście ekranowany Ethernet zachowuje się
tak samo jak zwyczajny ethernet.
Każda z tych sieci jest połączona do jednej ze stacji linuxowych na
dodatkowych adresach IP.
Są to serwery plików połączone do obu chronionych sieci. Jest tak,
ponieważ planujemy dać dostęp tak dla sieci Troops ja i wyższej.
Serwer plików nosi numery 192.168.2.17 dla sieci Troop i
192.168.2.23 dla sieci Mercenary.
Mają różne adresy ponieważ mają dwie różne karty sieciowe.
network. IP Forwarding jest wyłączony.
IP Forwarding na obu stacjach linuxowych także jest wyłączony.
Router nie powinien przesyłać pakietów przeznaczonych dla sieci
192.168.2.xxx dopóki mu tego wprost nie powiemy, tak więc dostęp do
internetu pozostaje wyłączony. Wyłączenie przesyłania IP ma na celu
zablokowanie połączeń z sieci Troop do sieci Mercenary na odwrót.
Serwer NFS może ponadto oferować różne pliki dla różnych sieci.
To łatwe przy drobnych operacjach z symbolicznymi
odniesieniami można zrobić w ten sposób że wspólne pliki są dzielone
przez wszystkich. Użycie tego typu ustawień i różnych kart sieciowych
umożliwia Ci zastosowanie jednego serwera plików dla trzech sieci.
Serwer proxy
Teraz, dopóki wszystkie trzy poziomu będą możliwe do pracy w ramach
wyznaczonych zadań będą potrzebowały dostępu do sieci.
Zewnętrzna sieć jest połączona bezpośrednio z internetem, tak więc nie
ma tu zastosowania dla serwera pośredniczącego. Sieci Mercenary i Troop
znajdują się za ścianą ogniową więc potrzebny im serwer proxy.
Konfiguracja obu jest bardzo podobna. Oba mają takie same adresu IP.
Jedyna różnica polega na nieco innych parametrach.
Nie każdy może użyć serwera plików dla dostępu do Interntu.
Wystawia to go na wirusy i inne brzydkie rzeczu.
Nie chcemy zezwolić sieci Troop na dostęp do WWW. Przechodzą szkolenie
I jaki kolwiek przepły informacji mógłby zniszczyć jego efekty.
Tak więc w pliku sockd.conf w linuxie w sieci Troop znajdzie
się następująca linia.
deny 192.168.2.17 255.255.255.255
a w stacji przeznaczonej dla Mercenary:
deny 192.168.2.23 255.255.255.255
Teraz w stacji linuxowej sieci Troop wpisujemy:
deny 0.0.0.0 0.0.0.0 eq 80
Ten tekst mówi że zabraniamy dostępu wszystkich maszynom
próbującym się dostać do portu równego (eq) 80 (http).
Nadal pozwala się na dostęp do wszystkich usług z wyjątkiem WWW.
Teraz oba pliki powinny zawierać linie:
permit 192.168.2.0 255.255.255.0
by zezwolić wszystkim komputerom z sieci 192.168.2.xxx na użycie
tego serwera pośredniczącego zamiast tego który został zakazany (np.
serwer plików i dostęp do WWW z sieci Troop).
W sieci Troop w pliku sockd.conf powinien wyglądać w ten
sposób:
deny 192.168.2.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.2.0 255.255.255.0
a w sieci Mercenary mniej więcej tak:
deny 192.168.2.23 255.255.255.255
permit 192.168.2.0 255.255.255.0
To powinno zakończyć konfigurację wszystkiego. Każda z sieci jest
izolowana, z prawidłowymi ustawieniami interakcji. Każdy powinien być
szczęśliwy.
Dalej... Podbij świat...
Następna strona
Poprzednia strona
Spis treści