 |
|
|
|
Настраиваем firewall с if_bridge на базе FreeBSD 7.0
Настраиваем firewall с if_bridge Поводом для написания статьи послужил реальный опыт настройки сетевого фильтрующего моста на связке if_bridge + IPFW. Для решения описываемой задачи это было самым простым и логичным решением. Зачем нужен if_bridge В каких же случаях и для решения каких задач можно использовать фильтрующий мост на основе if_bridge и сетевого фильтра IPFW во FreeBSD? Вот несколько примеров:
Сразу замечу, что максимальные возможности фильтрации представляются именно в связке if_bridge + IPFW, так как мост (сетевые интерфейсы моста) работает на канальном уровне, а брандмауэр IPFW может фильтровать на layer2. В моем случае необходимо было изолировать четыре машины из сегмента 192.168.1.0/24 большой локальной сети, имеющей доступ в мир через NAT шлюза провайдера, одной небольшой фирмы. Проведя кабель к ближайшему свитчу и подключив эти машины через фильтрующий мост, я получил разделение сегмента сети без изменения сетевого пространства, единственное, что сделал провайдер по моей просьбе – зарезервировал (на шлюзе работал сервер DHСP) четыре IP-адреса, чтобы было легче писать правила пакетного фильтра. То есть моя задача сводилась к фильтрации входящего и исходящего трафика для диапазона из четырех IP-адресов участка сети, который будет находиться за фильтрующим мостом, на рис. 1 это PC5, PC6, PC7, PC8.
Рисунок 1. Настройка ядра и конфигурационные файлы Теперь рассмотрим порядок настройки прозрачного моста – брандмауэра в операционной системе FreeBSD 7.0. Для поднятия моста if_bridge необходимо пересобрать ядро с параметром: device if_bridge или загрузить код драйвера при загрузке системы, для этого добавляем вот такие строки в /boot/loader.conf: if_bridge_load="YES" bridgestp_load="YES" Ставим «YES» для включения поддержки протокола STP, если присутствует кольцевая топология сети, основной задачей этого протокола является приведение сети Ethernet с множественными связями к древовидной топологии, исключающей циклы пакетов. Происходит это путем автоматического блокирования ненужных в данный момент для полной связности портов. Про логику работы протокола можно почитать тут: http://www.nag.ru/2005/0517/0517.shtml. Параметры для поддержки ядром сетевого экрана IPFW:
Для тех, кто впервые настраивает брандмауэр на основе IPFW, возможно, полезной будет опция: IPFIREWALL_DEFAULT_TO_ACCEPT, она добавляет разрешающее правило за номером 65000: «add allow ip from any to any». Потому что без этой опции в итоге при перезагрузке системы мы получим firewall, который по умолчанию будет иметь одно запрещающее правило за номером 65535: «deny ip from any to any», которое закроет прохождение любого IP-трафика по всем интерфейсам, что может вызвать проблемы при удаленном администрировании. Собираем ядро, делая, как пишется в handbook (http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/kernelconfig-building.html): #cd /usr/src/sys/i386/conf #mkdir /root/kernels #cp GENERIC /root/kernels/MOST #ln –s /root/kernels/MOST Правим конфиг нового ядра: #cd /usr/src #make buildkernel KERNCONF=MOST Собираем: #make installkernel KERNCONF=MOST Инсталлируем новое ядро: #ee MOST Настраиваем параметры загрузки брандмауэра IPFW, редактируя файл /etc/rc.conf:
Для поднятия if_bridge добавляем следующие строки, назначая для одного сетевого интерфейса сетевой адрес для возможности удаленного администрирования, как рекомендуют нам здесь – http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-bridging.html: ifconfig_nfe0="inet 192.168.1.179 netmask 255.255.255.0" ifconfig_rl0="up" cloned_interfaces="bridge0" ifconfig_bridge0="addm rl0 addm nfe0 up" Перегружаемся. #reboot Смотрим по выводу ifconfig, поднялся ли наш мост: должны появиться строки member с нашими сетевыми картами. # ifconfig
Устанавливаем и проверяем следующие значения переменных системы:
Остальные переменные системы, относящиеся к if_bridge, у меня имели такой вид: # ifconfig
Чтобы после перезагрузки сохранились значения этих переменных, необходимо прописать их в /etc/sysctl.conf. Настройка правил для firewall Для начала вспомним три главных правила, которые определяют порядок прохождения пакетов и логику работы IPFW (см. рис. 2):
Рисунок 2. Порядок прохождения пакетов и логика работы IPFW Теперь напишем скрипт с правилами для нашего firewall: #!/bin/sh # Объявляем переменные fwcmd="/sbin/ipfw" mylan="192.168.1.203, 192.168.1.201, 192.168.1.202, 192.168.1.200" macpc1=00:17:31:a9:e9:9b macpc2=00:0c:42:1c:09:bd macpc3=00:1d:92:3f:e0:f2 macpc4=00:e0:4c:50:31:2d macgate=00:0e:2e:a9:6f:9e # MAC-адрес сетевого интерфейса моста, которому мы присвоили IP-адрес ipbridge=00:50:da:4e:ba:63 # Сбрасываем все правила ${fwcmd} -f flush # Проверяем, соответствует ли пакет динамическим правилам ${fwcmd} add check-state # Разрешаем все установленные соединения ${fwcmd} add allow tcp from any to any established # Разрешаем работу протоколу ARP ${fwcmd} add allow all from any to any layer2 mac-type arp # Так как у нас есть возможность фильтровать пакеты на канальном уровне, воспользуемся этим # Разрешаем трафик только от наших машин к роутеру провайдера и обратно ${fwcmd} add allow all from any to any MAC $macpc1 $macgate ${fwcmd} add allow all from any to any MAC $macgate $macpc1 ${fwcmd} add allow all from any to any MAC $macpc2 $macgate ${fwcmd} add allow all from any to any MAC $macgate $macpc2 ${fwcmd} add allow all from any to any MAC $macpc3 $macgate ${fwcmd} add allow all from any to any MAC $macgate $macpc3 ${fwcmd} add allow all from any to any MAC $macpc4 $macgate ${fwcmd} add allow all from any to any MAC $macgate $macpc4 # Блокируем весь трафик на lo0 ${fwcmd} add deny all from any to 127.0.0.0/8 ${fwcmd} add deny all from 127.0.0.0/8 to any # Блокируем мультикастовые рассылки ${fwcmd} add deny all from any to 240.0.0.0/4 # Запрещаем фрагментированные пакеты icmp ${fwcmd} add deny log icmp from any to 255.255.255.255 # Запрещаем адреса, которые используются в протоколах автоконфигурации ${fwcmd} add deny ip from 169.254.0.0/16 to any # Разрешаем http-трафик ${fwcmd} add allow ip from $mylan to any 80 via bridge0 keep-state # Разрешаем DNS-трафик ${fwcmd} add allow ip from $mylan to any 53 via bridge0 keep-state # Разрешаем вход по ssh c хоста 192.168.1.200 нашей сети ${fwcmd} add allow ip from $mylan to me 22 keep-state ${fwcmd} add allow all from any to any MAC $macpc1 $ipbridge ${fwcmd} add allow all from any to any MAC $ipbridge $macpc1 # Разрешаем синхронизацию времени ${fwcmd} add allow udp from any to any 123 keep-state # Разрешаем ftp-трафик (активный режим) ${fwcmd} add allow tcp from $mylan to any 21 via bridge0 ${fwcmd} add allow tcp from any 20 to $mylan via bridge0 # Разрешаем icmp – эхо-запрос, эхо-ответ и время # жизни пакета истекло ${fwcmd} add allow icmp from any to any icmptypes 0,8,11 via bridge0 # Разрешаем работать с почтой ${fwcmd} add allow tcp from $mylan to any 110,143,25,995 keep-state # Разрешаем icq ${fwcmd} add allow ip from $mylan to any 5190 keep-state # Блокируем весь трафик не с наших МАС-адресов ${fwcmd} add deny all from any to any layer2 # Это правило добавится автоматически ${fwcmd} add deny all from any to any Следует отметить, что это только пример, а какие правила писать в вашем конкретном случае, решать вам. Также следует заметить, что в данном случае (всего четыре компьютера) фильтрующий мост никак не виден в сети, задержки при прохождении пакетов через мост минимальны и ими можно пренебречь.
|
Владимир Ляшко
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
