LINUX.ORG.RU

Прозрачный брандмауэр с маршрутизатором. Тестовая лаборатория

 , , ,


3

2

В статье рассмотрено решение, требующееся при объединении прозрачного брандмауэра с маршрутизатором, используя утилиту ebtables и создание тестовой лаборатории на микродистрибутиве Linux, используя qemu и initrd на основе моей сборки busybox, включающей в себя ebtables, iptables, ssh(d), рекурсивного DNS и др.

>>> Статья полностью

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от vodz

что на первой картинке этот момент ясно отражён: белая сеть с сервисами и VPN-для-клиентов за маршрутизатором

Это было понятно. Непонятно было почему во втором случае нельзя сделать также как было раньше. Разобрался, спасибо.

anonymous
()
Ответ на: комментарий от ne-vlezay

а как?

Проще, конечно, под те libc, что явно предназначены для статика, типа упоминаемых в статье uclic или musl. Там, по крайней мере не будет морока с libnss. Если надо glibc, то это уже хитрее. Нужны сорцы, переконфигурить для поддержки статика, линковать надо как 30 лет назад(!), указывая явно -lc, чтобы libnss подхватились в нужном порядке. Если юзаются плагины, то уже сложнее, надо программировать, вставив плагин во внутрь и вызывать init-плагина.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Так ли нужен тут прозрачный фаерволл, если тут уже используется NAT?

Есть же проще вариант: 1) на серверах в DMZ настраиваются серые адреса, в которые NAT'ятся клиентские запросы: iptables -t nat -A PREROUTING -d 123.45.67.8 -j DNAT --to-destination 172.16.0.8 iptables -t nat -A POSTROUTING -s 172.16.0.8 -j SNAT --to-source 123.45.67.8 2) на серверах в DMZ настраивается маршрут по умолчанию через наш шлюз. всё.

siraenuhlaalu
()
Ответ на: комментарий от mittorn

Брандмауэры (в т.ч. русифицированные) появились ЗАДОЛГО до того, как один из них оказался встроен в офтопик.

hobbit ★★★★★
()
Ответ на: комментарий от siraenuhlaalu

Так ли нужен тут прозрачный фаерволл, если тут уже используется NAT?

В статье, в самом начале, сюрприз, есть картинки. Помимо NAT, там есть и белая сеть. Смысл иметь белую сеть и всё NAT-ить? Да, уже пробовал. В 8 утра, когда ВСЕМ 2500 клиентам надо срочно получить выписку из банка, второй криптошлюз за NAT начинает страшно глючить. Тот что на белом - приходится перегружать раз в месяц всего :)

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Вы просто не умеете настраивать сеть и на Ваших картинках ничего не отражено, откройте для себя стандартные обозначения и выучите значение слова маршрутизатор

anonymous
()
Ответ на: комментарий от anonymous

Да уж куда уж нам... Вот где действительно ничего не отражено, так вот в этом вашем комментарии.

vodz ★★★★★
() автор топика

… ну или просто используйте IPv6.

anonymous
()

Когда я вижу ifconfig в скриптах, мне хочется рыдать. iproute2 кому написали? Пушкину? NFTables дали им, вот, пользуйтесь! Нет, не хотим, будем и дальше iptables запускать. Транзакционность? Да кому она нужна! Атомарность? Да плевали мы на атомарность! Автор RF5737 писал, не спал ночами, старался, делал для вас. Нет, мы будем использовать RF1918 не по назначению. Плевали мы и на автора, и на RFC, и на всех вокруг. IPv6 выдают всем желающим — бери, не хочу. Не берут. Красят IPv4. Эти у нас серенькие будут, эти — беленькие, а вон те — малиновые, в кр-р-р-рапинку. NAT за NAT через NAT городить будем, всю страну четырежды в 100.64.0.0/10 засунем, но не сдадимся, не перейдём на современные технологии. Тьху, и растереть!

anonymous
()
Ответ на: комментарий от anonymous

Дался вам этот iproute2. Вот для source-рутинга я его использую, а когда ip делает тоже самое, что и ifconfig, но не понимает имена хостов, а только IP - да сами такое г.. юзайте. Хотели сказать что-то умное, а получился у вас высер школоты.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

не понимает имена хостов, а только IP
сами такое г.. юзайте

Quod erat demonstrandum. Мамкин админ локалхоста — это такой тип мышления, сколько бы тысяч хостов этот админ ни обслуживал.

anonymous
()
Ответ на: комментарий от anonymous

Ой да успокойтесь вы, выпьете валерьянки. Зависть в ваших речах чувствую я, она только разъедает и никакой конструктивности не принесет.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

Не зависть, а тоску от того, что приходится работать бок о бок с малограмотными. Впрочем, прощаю вам ваши грехи. ФИО и прочее твои нашёл, пути наши вряд ли когда-то за пределами ЛОРа пересекутся. И на том спасибо.

anonymous
()

Очень хорошо. Спасибо!

Debi
()
Ответ на: комментарий от anonymous

работать бок о бок с малограмотными

Работать, пересиливая себя, там где можно просто набрать человеческий ifconfig интерфейс адрес, вместо укуренного ip это возомнить себя грамотным? Да ну нафиг, школота и есть. Не умеете и не знаете человеческих команд - и кто из нас малограмотен?

ФИО и прочее твои нашёл

О, какой же вы труд совершили, при своей малограмотности, это ж надо было аж добраться до второй сточки статьи и расшифровать эти пуковки.

пути наши

Вам никогда не приходило в голову, что вот такая сетенция от анонимуса и выдаёт школоту? Попробуйте пошевелить мозгами.

vodz ★★★★★
() автор топика

брандмауэр

мне одному не нравится это слово калька с английского? Ну ладно, это переводчикам каких то мелких ОС можно халявить при переводе интерфейса, но блин, я не думал, что косяк переводчика войдёт в официальную терминологию!

darkenshvein ★★★★★
()
Ответ на: комментарий от darkenshvein

Кальки появляются, когда язык требует одно слово-термин. Ну не достаточно же только «межсетевой экран». Ну и брандмауэр - это не английский :)

vodz ★★★★★
() автор топика
Ответ на: комментарий от darkenshvein

противоположный файрволлу смысл)

Я так полагаю, что слово firewall знакомо исключительно по игре Diablo, где оно как раз-таки и имеет противоположный смысл. Такой вот своеобразный юмор.

На вот, ознакомься и не неси больше чепухи: https://en.wikipedia.org/wiki/Firewall_(construction)

anonymous
()

moood :)

статья конечно «децкая» как и решение, сетевики поймут, но за ftp с модами спасибо:)

anonymous
()

OpenVPN настраивается на всех маршрутизаторах в филиалах за меньшее время, чем прочтение этой статьи. :-(

anonymous
()
Ответ на: комментарий от anonymous

OpenVPN настраивается на всех маршрутизаторах

1. Маршрутизаторы, как не трудно догадаться по картинке, там таки cisco 2. OpenVPN таки не освобождает от маршрутизации до OpenVPN сервера. Ананимуст, такой анонимус...

vodz ★★★★★
() автор топика
Ответ на: moood :) от anonymous

статья конечно «децкая»

О, еще один крупный сетевик. Коментарии слабо было прочитать перед тем как свой марать? Это часть нашей сети под названием резервная-3. Желающие могут решить эту задачу совместив какую-нить ASA в прозрачном брандмауре и предлагаемую тут уже сплит-динамическую маршрутизацию. Но, во-первых это будет жутким офтопиком, во-вторых мне придётся устраивать в конторе курсы CCIE, чтобы спокойно уйти в отпуск. Ну и кому это надо?

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

ну если там таки циски то че не dmvpn то? легко рулица, легко резервируется, пролазит через наты, и не обижайтесь, но так есть - на картинки вам уже указывали - нестандартные обозначения, терминогия тоже какаято «своя», на динамику тут очень хорошо применимую вы киваете как на чето заоблачное и из ряда вон, можно и дальше продолжать но смысл, это просто видно и все тут.

anonymous
()
Ответ на: комментарий от anonymous

ну если там таки циски то че не dmvpn то?

Да причём тут вообще тип VPN!? Статья вовсе не о том! Заоблачная она не по причине того, что теоретически решалось бы одной строчкой для 10/8, и это оверкил и несколько усложняет ситуация для тунелей у сотрудников из дома.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

помоему вы с ней плотно не работали или не работали вообще если у вас какието проблемы с динамикой и тонелями из дома, потому что она напротив все упростит в этом плане.

anonymous
()
Ответ на: комментарий от anonymous

Если б вы таки прочли хотя бы предисловие, то убедились, что динамика это полдела, и, следовательно по совокупности без неё решение получается абсолютно рабочее, красивое и простое.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

да прочитал я, задача типовая, подключение типовое, проблема тоже типовая, по сути все типовое и не вы первый и не вы последний кто с этим сталкивается, и решения для нее тоже типовые, а вот глядя на ваши аховые скрипты, даже не читая - просто по обьему - красивым и элегантным ваше решение назвать у меня лично язык не поворачивается, dmvpn/пофиг в какойтостепеникакой впн тот же + IGP какой нить был бы значительно красивей и элегантней чем такой огород и ложица оно на любого прова с любым подключением, хоть на нескольких одновременно, ну и еще там пачка плюсов вдовесок.

anonymous
()
Ответ на: комментарий от anonymous

да прочитал я, задача типовая, подключение типовое

Имеено!

и решения для нее тоже типовые

Покажите в сети

ваши аховые скрипты

Скрипты, в реальном решении заключаются в одной строчке ebtables. В тестовой лабе от них избавиться можно только сделав разный образ на каждую виртуалку.

Так что как обычно. Типичный анонимусный высер.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

а решение не в сети:) самое ходовое - пнуть в вашем случае мегафон чтоп он понял что у вас там роутер, выдал вам точку-точку и отротил вашу цешку на него - и все осталось бы как и было, порезать сеть вам тоже преедлагали, и третье - имея нормальную инфруструктуру можно было бы забить и положить ее и на такое подключение, но обычно влом чето делать и используют первый вариант как самый логичный и малозатратный. это вы зачем то из обыденной ситуации сделали проблему.

anonymous
()
Ответ на: комментарий от vodz

ну и кстати насчет высеров - заканьчивайте высерать их, я вам не грубил.

anonymous
()
Ответ на: комментарий от anonymous

Ну а чё, нормальненько так, вместо одной строчки с ebtables мы должны будем купить сеть побольше чтобы её нарезать. И потом это обозвать нормальной инфраструктурой. Нормальная инфраструктура у нас крутится на MPLS в сети основная-1 и резервная-1, а это работает когда вот те первые дохнут. Так что идите кому другому объясняйте нормальность ваших идиотский предложений.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

жесть какая:) мплс во все поля на PA адресах а динамику неумеем:) и решаем децкие задачки костылями в тестлабе:) извините но чтото тут не вяжеца.

anonymous
()
Ответ на: комментарий от anonymous

жесть какая

Не, про жесть тут ещё не разу не упоминалось, ибо вот то красенькое на картинке это она и есть, сертифицированная sensored жесть :)

а динамику неумеем

Я то умею, а вот насчёт 99% местного контингента как и в прочем и вас - не уверен. Ибо я умею и избавляться от неё когда она не нужна.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

вы определитесь уже, то вы боитесь что из за динамики в отпуск не уйдете то вас MPLS даже не смущает хотя по логике тут с ним вы не то что в отпуск а пасрать должны бояца отойти - вдруг чего а никого нету:) а железки они знаете ли все censored и жесть, у всех разная, но такова жизнь.

anonymous
()
Ответ на: комментарий от anonymous

Неужели так трудно понять простую мысль, что раз динамика всю задачу не решает, а простое и элегантное решение решает задачу без неё, то ваша, бесконечно повторяемая мысль, звучит уже как идиотизм?

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

я вообщето ничего не повторял, это вы чтото там сами придумываете, просто динамическая маршрутизация тут неотьемлемая часть нормально построенной инфраструктуры, которой у вас нет, ибо будь она у вас вы бы сами же по рукам и били бы всем желащим впихнуть статику вам в сеть и себе в том числе, а не боялись бы что ктото там чето не разбереца в чем то. там все на самом деле наоборот проще прозрачней и проще диагностируется. а так если посмотреть то ваша вот эта городушка включенная в нормальную сеть статикой выглядит там неиначе как как помойка и не имеет смысла вообще. и городушку вы эту сделали по той же причине - нет инфраструктуры - лепим костыли.

anonymous
()
Ответ на: комментарий от anonymous

А, опять свои идиотские мысли в голове мешают понять «детскую» статью... Где вы там статику нашли?!

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

эм, ну как где, под «Правильное решение» один из пунктов гласит «сконфигурить все VPN-ы либо на этом хосте, либо прописать маршрут на хосте с прозрачным файерволом — центральным маршрутизатором до сервера VPN.» а при динамике маршруты не прописывают:) они сами:) ну и от обратного - маршрутизаторы там у вас есть, а про маршрутизацию ничего - а варианта как бы два:)

anonymous
()
Ответ на: комментарий от anonymous

А, ну что-то в ваших словах есть, если учесть, что VPN-ы это динамика, и тут динамика между этими двумя маршрутизаторами бы могла и применяться. Но, это нисколько не меняет само решение, ибо оно упирает на возможность поднимать VPN-ы на самом прозрачном брандмауэре за счёт белого адреса, ни на то, что нет необходимости поднимать динамику на всех остальных белых хостах.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

в них много чего есть если подумать:) а я и не меняю ваше решение, просто можно правильнее, красивее централизованнее, с меньшим гемороем и временными затратами при очередном переезде, с меньшими рисками ошибица гдето или оставить дыру потому что меньше менять настроек в ручную, конфигурация получаеца тоже типовая и прозрачнаная и соотвественно более понятная ну итд. поэтому ваше назвать могу тока децким, уж извините не обижайтесь но как есть.

anonymous
()
Ответ на: комментарий от anonymous

А вот без этого «не обижайтесь» никак нельзя было обойтись? Ведь сказали же чушь. Как может быть конфигурация более простой, если она без этого решения требует брандмауэр на каждом белом хосте и всё равно перенастройки динамики при переезде? Ведь динамика там умозрительная, большинство инсталляций вполне обходятся многолетней конфигурацией количества и им выделенных серых сетей для филиалов, потому при переезде будет меняться совсем не то, а динамика получается реально типа поиграться.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

ну я просто привык говорить как есть:) не волнуйтесь у меня тоже дохрена чего есть через жопу:) даже дома вот хоть и динамика но тоже через жопу:) а по вашим вопросам - не требует она фаера на каждом хосте, у вас просто по сути отняли роутер и соответственно единую точку контроля - ее просто нада было вернуть назад, в виде роутера, но вы выкрутились бриджом, да можно - но затратнее. но это не касаеца всего остального. на остальные вопросы я ответить не могу - нужно знать физическую топологию, L2 топологию, географию требования к полосе хотя бы, иначе это все теория будет и возможных решений будет милион, и только одно правильное, тока мы не будем знать какое:)

P.S. стп на бридже погасите если оставили, ато раздолбаи на стороне провайдера иногда тоже забывают про него, и при определенном стечении обстоятельств может случица ой. :)

anonymous
()
Ответ на: комментарий от anonymous

ну я просто привык говорить как есть

А есть решение и куча срача, как сделать это другими способами, затратнее и кривее. Но это же linux.org.ru, именно это я и ожидал.

стп на бридже погасите если оставили

Как тут любят говорить: «а пацаны то и не знали». Оно то понятно, что скрипт читать влом, но зачем тогда позориться? Оставили тогда уж советы при себе, не было б типичного анонимного позора.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

панятна все с вами, аукнеца вам ето ваше решение на следующем мегафоне, я так понимаю что то что wccp-proxy наружу торчит аж по четырем портам «пацаны» тоже вкурсе? и идент до кучи, очень нужная вещь наверное тоже.

anonymous
()
Ответ на: комментарий от anonymous

Можно подумать, динамика бы прикрыла этот wccp :) ident он по жизни должен торчать, из сетевой вежливости, как и icmp, правильный реверс и прочее, закрытие их есть то самое, что привело Интернет к помойке.

аукнеца вам ето ваше решение

Да Вы не стесняйтесь, давайте примерчик.

vodz ★★★★★
() автор топика
Ответ на: комментарий от vodz

причем тут динамика то? насчет идента не согласен, у вас же там не шеллхостинг, и про вежливость можете забыть - боюсь вас опять огорчить но вы в интернете - говоря иначе в помойке и торчать в нее должно исключительно то что необходимо. ато опенрелей тоже раньше было вежливо, че не сделали то? или сделали?:) я не смотрел:) мне вот к примеру действительно нужен идент и он торчит, icmp частично необходим, ну echo вы там закроете если тока и еще по мелочи но не все если не хотите огрести граблями, без обратки на мыле огребете опять таки, остальное всем пофиг. так что вы там потише со своими выражениями и повежливей, ато брандмауер брандмауер, и где он?:) говорил же про отсутствующую инфраструктуру - вот и торчит хрен пойми че и куда.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.