[BSD] kicsit off: router mogott a firewall ohh :)

Adam Szilveszter sziszi at bsd.hu
2004. Már. 5., P, 21:48:22 CET 

Szia!

On Fri, Mar 05, 2004 at 05:31:26PM +0100, Rell Gabor wrote:
> 
> Egyik ismerosomet igen erdekes feladattal aldottak meg, a felallas a
> kovetkezo:
> 
> adslrouter -> firewall -> helyihalo
> 
> a routernek van kulso ipcime plusz a firewallnak is kene hogy legyen,
> hogy lassak kintrol a tengerentulrol, de nem jo nekik az ha az ssh van
> portforwaldolva a routeren, mert finnyasak es kulon kell latszodnia az
> fw-nek. az fw-ben ket nic van egyik cime egy publik ip amin latszodnia
> kene a masik a belso a cime.

Asszem értem.

> A routeren lehet allitani static routeot, a kovetkezo adatokat keri
> hozza:
> destination address, netmask , gateway .

Igen ez kell hozzá :-)

> A routerbe az egyik lanportba van dugva a kulso cimes fw kabel es egy
> switchbe a belsos(a belso cimem minden megy gond nelkul).
> Es a legszebb az egeszben hogy az oszes forgalomnak at kell mennie az
> fw-n(nehogymar valaki pron oldalakat nezegessen a munkahelyen :))
> 
> En az egesz dolog megoldasat valami olyasmi modon kepzelem hogy jon a
> dslrouterbol kabel az megy fw-be es az fw natolja nekik a dolgot(igy
> minden forgalom rajta megy) de azt nemtudom hogy hogy lesz az fw-nek
> kulsos cime, hogy kell beallitani hozza a static routot a dsl routeren
> :(

Na akkor. Az ötlet jó, az fw-re bízni a NAT-olást. Ez azt jelenti, hogy
a routernek egyedül azt kell tudnia, hogy az fw külső IP-jére küldje a
stuffot, hiszen a NAT miatt mást ő nem fog látni. A feladat mostan az,
hogy a router belső iface-je kapjon egy címet, ami lehet ugyanabban a
tartományban mint a tűzfal külső IP-je de nem feltétlenül kell.
Aztán meg be kell adni neki egy olyan static route-t, hogy

dest address: az fw külső IP-je
netmask: rádbízva, de le lehet szűkíteni akár teljesen is (0xffffffff)
hisz egy darab címről van szó, nem egy nagyobb alhálóról.
gw: na ide a router "belső" IP-je irandó. 

Innen ha szerencsénk van akkor a router tudni fogja, hogy a tűzfal külső
IP-re menő forgalmat és csak azt a saját belső iface-re küldje, a többit
ugyebár a default route felveszi, ami pedig a külső oldal (ppp link másik
vége) felé mutat.

Az fw-nek kell szerezni egy nyilvános IP-t és a külső kártyájának adni.

Remélhetőleg kész. (nyilván menedzsment portot nyitva kell hagyni a
tűzfalon)

Mi a kérdés?

Üdv:
Sz.
-- 
Udvozlettel:

Adam Szilveszter
Budapest
"Siessen haza! A BSD mar otthon van!"

További információk a(z) BSD levelezőlistáról