Linux gateway2

A Feladat:


Egy vendégek számára használható hálózat kialakítása, amely felől nem tudják elérni az irodai hálózatot, mégis viszonylag szabadon elérhetik az internet szolgáltatásait.

Képen ábrázolva:

Linux gateway - Iptables firewall-

Lehetséges megoldás:

Linux tűzfal közbeiktatása, amely két hálózati kártyával rendelkezik: egy a vendéghálózat felé, egy az irodai hálózat (internet)  felé.
Hálózati forgalmi szabályok szavakban:
A vendégek számára elérhető szolgáltatások:
  • web (http, https)
  • smtp, pop3, imap4
  • PPTP (windowsba épített VPN kliens) támogatása
A vendég  a hálózatot használva tudja használni az internet alapvető szolgáltatásait, minden más forgalom tiltva van. H az engedélyezett szolgáltatások nem elegendők, csatlakozhat  PPTP VPN kiszolgálóhoz.
A http forgalom arra a proxy szerverre lesz továbbítva, amelyet az irodai hálózat is hasaznál.
Az smtp forgalom az irodai hálózat számára is elérhető SMTP kijáratra lesz továbbítva.
A vendégek a kiszolgálóhoz és az irodai hálózat gépeihez nem tudnak csatlakozni, viszont a WLAN interfészen keresztül lehet az útválasztóhoz kapcsolódni  (pl: ssh).
A nem engedélyezett forgalom a LOGDROP láncba lesz továbbítva, ahol először loggolva lesz a forgalom, majd eldobva (DROP).

IPTABLES Tűzfal szabályok:

#!/bin/bash
 
LANIF="eth0"
WANIF="eth1"
WANIF_IP="192.168.0.1"
LANNETWORK="192.168.211.0/24"
PROXY="192.168.2.1"
SMTPGW="192.168.1.1"

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -F -t nat
iptables -N LOGDROP
iptables -A LOGDROP -j LOG
iptables -A LOGDROP -j DROP

iptables -t nat -A PREROUTING -i $LANIF -s ! $SMTPGW -p tcp --dport 25 -j DNAT --to $SMTPGW:26

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $LANIF -p ICMP -j ACCEPT
iptables -A INPUT -i $LANIF -p udp -m multiport --dports 53,67,68 -j ACCEPT
iptables -A INPUT -i $LANIF -d $SMTPGW -p tcp --dport 26 -j ACCEPT
iptables -A INPUT -i $LANIF -p tcp -m multiport --dports 80,110,143,443,465,993,995,1723 -j ACCEPT
iptables -A INPUT -i $LANIF -p gre -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i $WANIF -j ACCEPT
iptables -A INPUT -j LOGDROP


iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $LANIF -d $LANNETWORK -j ACCEPT
iptables -A FORWARD -i $LANIF -d $SMTPGW -p tcp --dport 26 -j ACCEPT
iptables -A FORWARD -i $LANIF -d 192.168.0.0/16 -j DROP
iptables -A FORWARD -i $LANIF -p ICMP -j ACCEPT
iptables -A FORWARD -i $LANIF -p tcp -m multiport --dports 80,110,143,443,465,993,995,1723 -j ACCEPT
iptables -A FORWARD -i $LANIF -p gre -j ACCEPT
iptables -A FORWARD -j LOGDROP

iptables -t nat -A POSTROUTING  -o $WANIF -s $LANNETWORK -j MASQUERADE
iptables -t nat -A POSTROUTING -o $WANIF -s $LANNETWORK -d $SMTPGW -j SNAT --to $WANIF_IP


Új hozzászólás: