Ступінь поділу: введення в DMZ

                                     У попередньому розділі, ви побачили як налаштувати сервіси у вашій локальній мережі і зробити їх вибірково доступними із зовнішнього світу за допомогою розумного набору правил PF Для більш точного контролю над доступом до вашої внутрішньої мережі, а також сервісів, які вам потрібно зробити видимим для решти світу, додати ступінь фізичного поділу Навіть окремі віртуальні локальні мережі (VLAN) будуть робити це красиво

Досягнення фізичного і логічного поділу досить легко: просто преместіть машини, що працюють з публічними сервісами відокремити в свою мережу, прикріпленою до окремого інтерефейса на шлюзі Кінцевим результатом є окрема мережа, яка не є частиною вашої локальної мережі, і не є частиною мережі інтернет Концептуально, відокремлена мережа виглядає як на малюнку 5-2

Зауваження:

Думайте про цю маленьку мережі як про зону відносного затішься між територіями ворожих фракцій Немає нічого дивного, що кілька років тому, хтось придумав фразу демілітаризованої зони, або коротко DMZ, щоб описати цей тип конфігурації

Для розподілу адрес, ви можете відщипнути шматочок від вашого офіційного адресного простору для нової мережі DMZ Крім того, ви можете перемістити ті частини вашої мережі, які не мають особливої ​​необхідності запускатися з публічним доступом і маршрутизуються адресами всередині NAT оточення У будь-якому випадку, вам зрештою знадобиться ще один інтерфейс, трафік якого необхідно буде фільтрувати Як ви побачите пізніше, можна запустити установку DMZ у всіх NAT середовищах, а також якщо вам дійсно не вистачає офіційних адрес

Коригування набору правил ставить перед собою завдання не бути великою Якщо

необхідно, ви можете змінити конфігурацію для кожного інтерфейсу Базова логіка набору правил залишається, але вам може знадобиться для настройки пределенія макросів (веб-сервер, поштовий сервер, сервер імен, і можливо інші), щоб відобразити нову схему мережі

У нашому прикладі, ми могли б вибрати частину сегмента нашого діапазону адрес, де ми вже розмістили наші сервери Якщо ми залишимо деякий простір для зростання, ми можемо налаштувати новийdmz_if  на / 25 масці з мережевим адресою і маскою підмережі 19202128/255255255128 Це залишить нас з діапазоном від 19202129 по 19202254 як використовуваний діапазон адрес для хостів в DMZ З цією конфігурацією і без змін до IP адреси, призначених серверам, вам дійсно не потрібно чіпати набір правил для всіх для фільтрації пакетів для роботи після створення фізично окремого DMZ

Тобто приємний побічний ефект, який може бути повязаний або з лінню, або з відмінним довгостроковим плануванням У кожному разі, він підкреслює важливість наявності розумного розподілу адресної політики на місці Це може бути корисно для того, щоб підтягти ваш набір правил, відредагувавши ваші правила для трафіку таким чином, щоб дозволити передавати трафік тільки на ті інтерфейси, які мають відношення до ваших сервісів

pass in on $ext_if proto { tcp, udp } to $nameservers port domain pass in on $int_if proto { tcp, udp } from $localnet to $nameservers \ port domain

pass out on $dmz_if proto { tcp, udp } to $nameservers port domain pass in on $ext_if proto tcp to $webserver port $webports

pass in on $int_if proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if proto tcp to $mailserver port smtp

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Ви могли б написати інші дозвільні правила, які характеризують специфічні інтерфейси вашої локальну мережу, але якщо ви залишите все як є вони продовжуватимуть працювати

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*