URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39851
[ Назад ]
Исходное сообщение
"Прошу помочь настроить firewall"
Отправлено philim0n , 28-Янв-04 15:47 
Так как опыта еще немного, а сделать надо. Задача состоит в следующем:
Настроить FreeBSD ТОЛЬКО как firewall. Проксирование, auth  и тд. на другой машине. Не могу сообразить как. Схема такая (для наглядности)
"Провайдер"-"Firewall"-"Proxy..,Mail, etc сервер"-"Users"
Очень надеюсь на Вашу помощь.
Содержание
Сообщения в этом обсуждении
"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 28-Янв-04 18:25 
Если фаерволл планируешь на отдельной машине, я бы делал фильтрующий мост.
"Прошу помочь настроить firewall"
Отправлено philim0n , 29-Янв-04 13:00 
>Если фаерволл планируешь на отдельной машине, я бы делал фильтрующий мост.
Да, под firewall отдельная машинка. А фильтрующий мост, простите, это как?

"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 29-Янв-04 13:03 
Это типа машина без адресов на инетрфейсах (ну можно для управления один адрес назначить)
Машина фильтрует трафик, но ее нигде вроде как не видно.
"Прошу помочь настроить firewall"
Отправлено philim0n , 29-Янв-04 13:13 
>Это типа машина без адресов на инетрфейсах (ну можно для управления один
>адрес назначить)
>Машина фильтрует трафик, но ее нигде вроде как не видно.
Угу, спасибо. Статейку нашел как это делать, но если чего спрошу?


"Прошу помочь настроить firewall"
Отправлено philim0n , 29-Янв-04 14:54 
>>Это типа машина без адресов на инетрфейсах (ну можно для управления один
>>адрес назначить)
>>Машина фильтрует трафик, но ее нигде вроде как не видно.
>Угу, спасибо. Статейку нашел как это делать, но если чего спрошу?

Посмотрел, разобрался. Не совсем подходит - необходимо чтобы все приходило на интерфейс firewall (тоесть "ip наружу" был присвоен ему). Как быть?

"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 29-Янв-04 14:57 
Не ясно чего хотел сказать
"Прошу помочь настроить firewall"
Отправлено philim0n , 29-Янв-04 15:54 
>Не ясно чего хотел сказать
Ок. Есть "Firewall", на нем два сетевых интерфейса (внешний и внутренний). Нужно чтобы ip данный провайдером был присвоен "внешнему" интерфейсу. Соответсвенно внутренняя сетка (на выходе стоит WinGate - изменить эту конфигурацию в данный момент нельзя) "видит" инет через "внутренний" интерфейс. С помошью чего реализовать?

"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 29-Янв-04 16:03 
Стоп стоп, разговор шел что фаервол отдельный.
Схема такая
---Мостовой фильтр----(внеш ip)Шлюз (внут ip)---

На шлюзе на внешнем интерфейсе выставляешь внешний адрес (тот что получил от провайдера) , а на внутренний уж твое дело, хочешь фековую сеть хочешь реальные адреса если есть

"Прошу помочь настроить firewall"
Отправлено philim0n , 30-Янв-04 13:06 
>Стоп стоп, разговор шел что фаервол отдельный.
>Схема такая
>---Мостовой фильтр----(внеш ip)Шлюз (внут ip)---
>
>На шлюзе на внешнем интерфейсе выставляешь внешний адрес (тот что получил от
>провайдера) , а на внутренний уж твое дело, хочешь фековую сеть
>хочешь реальные адреса если есть
Видимо я объясмнил криво. То ты мне идею подал. Нужно так

---Провайдер---(внеш ip)firewall(внутр ip)---Шлюз---

На "Шлюз"е - WinGate, MS Echange.
Мне твоя схема больше нравиться, но руководство требует как у меня.


"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 30-Янв-04 13:22 
---Провайдер---(внеш ip)firewall(внутр ip)---Шлюз---

Ну хочешь так делай, в чем проблема то? Хозяин барин.

"Прошу помочь настроить firewall"
Отправлено philim0n , 30-Янв-04 13:59 
>---Провайдер---(внеш ip)firewall(внутр ip)---Шлюз---
>
>Ну хочешь так делай, в чем проблема то? Хозяин барин.
Все, убедил шефа в пригодности "твоей" схемы. Уже сделал все, буду испытывать.
ЗЫ а не подскажешь, как смотреть логи (счетчики) ipfw? Просто еще не приходилось файер ставить, вот плыву (


"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 30-Янв-04 14:18 
ipfw show
"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 30-Янв-04 14:21 
Ну я не настаиваю на своей схеме.
Мне лично она нравиться, прозрачный фаерволл, нигде невидимый, экономия адресов.
Но надо иметь ввиду что это всего лишь бридж с фильром, а не маршрутизатор.
Если у тебя будут планы разветвлять сеть, то использование его в качестве маршрутизатора далеко проблематично.
Это чисто мое мнение.
"Прошу помочь настроить firewall"
Отправлено philim0n , 30-Янв-04 14:39 
>Ну я не настаиваю на своей схеме.
>Мне лично она нравиться, прозрачный фаерволл, нигде невидимый, экономия адресов.
>Но надо иметь ввиду что это всего лишь бридж с фильром, а
>не маршрутизатор.
>Если у тебя будут планы разветвлять сеть, то использование его в качестве
>маршрутизатора далеко проблематично.
>Это чисто мое мнение.
Да, я понимаю это. Настрою, потестю.

>ipfw show
это то я знаю, как логи посмотреть о прохождении пакетов?


"Прошу помочь настроить firewall"
Отправлено philim0n , 30-Янв-04 14:39 
>Ну я не настаиваю на своей схеме.
>Мне лично она нравиться, прозрачный фаерволл, нигде невидимый, экономия адресов.
>Но надо иметь ввиду что это всего лишь бридж с фильром, а
>не маршрутизатор.
>Если у тебя будут планы разветвлять сеть, то использование его в качестве
>маршрутизатора далеко проблематично.
>Это чисто мое мнение.
Да, я понимаю это. Настрою, потестю.

>ipfw show
это то я знаю. А как логи посмотреть о прохождении пакетов?


"Прошу помочь настроить firewall"
Отправлено philim0n , 30-Янв-04 14:45 
Сорри за спам. Врубился, не понял сначала.
Спасибо тебе большое за помощь. Еще не подскажешь, где бы посмотреть толковую статейку о правилах? Неплохобы с примерами - с детства привык на примерах учиться :)

"Прошу помочь настроить firewall"
Отправлено A Clockwork Orange , 30-Янв-04 15:01 
В поиске набирай firewall FreeBSD, и выбирай.

ЛОги

/var/log/security