Linux gateway2

A Feladat:

Egy vendégek számára használható hálózat kialakítása, amely felől nem tudják elérni az irodai hálózatot, mégis viszonylag szabadon elérhetik az internet szolgáltatásait.

Képen ábrázolva:

Linux gateway - Iptables firewall-

Lehetséges megoldás:

Linux tűzfal közbeiktatása, amely két hálózati kártyával rendelkezik: egy a vendéghálózat felé, egy az irodai hálózat (internet)  felé.
Hálózati forgalmi szabályok szavakban:
A vendégek számára elérhető szolgáltatások:

  • web (http, https)
  • smtp, pop3, imap4
  • PPTP (windowsba épített VPN kliens) támogatása

A vendég  a hálózatot használva tudja használni az internet alapvető szolgáltatásait, minden más forgalom tiltva van. H az engedélyezett szolgáltatások nem elegendők, csatlakozhat  PPTP VPN kiszolgálóhoz.
A http forgalom arra a proxy szerverre lesz továbbítva, amelyet az irodai hálózat is hasaznál.
Az smtp forgalom az irodai hálózat számára is elérhető SMTP kijáratra lesz továbbítva.
A vendégek a kiszolgálóhoz és az irodai hálózat gépeihez nem tudnak csatlakozni, viszont a WLAN interfészen keresztül lehet az útválasztóhoz kapcsolódni  (pl: ssh).
A nem engedélyezett forgalom a LOGDROP láncba lesz továbbítva, ahol először loggolva lesz a forgalom, majd eldobva (DROP).

IPTABLES Tűzfal szabályok:

#!/bin/bash


 


LANIF="eth0"


WANIF="eth1"


WANIF_IP="192.168.0.1"


LANNETWORK="192.168.211.0/24"


PROXY="192.168.2.1"


SMTPGW="192.168.1.1"



echo "1" > /proc/sys/net/ipv4/ip_forward


iptables -F


iptables -F -t nat


iptables -N LOGDROP


iptables -A LOGDROP -j LOG


iptables -A LOGDROP -j DROP



iptables -t nat -A PREROUTING -i $LANIF -s ! $SMTPGW -p tcp --dport 25 -j DNAT --to $SMTPGW:26



iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -A INPUT -i $LANIF -p ICMP -j ACCEPT


iptables -A INPUT -i $LANIF -p udp -m multiport --dports 53,67,68 -j ACCEPT


iptables -A INPUT -i $LANIF -d $SMTPGW -p tcp --dport 26 -j ACCEPT


iptables -A INPUT -i $LANIF -p tcp -m multiport --dports 80,110,143,443,465,993,995,1723 -j ACCEPT


iptables -A INPUT -i $LANIF -p gre -j ACCEPT


iptables -A INPUT -s 127.0.0.1 -j ACCEPT


iptables -A INPUT -i $WANIF -j ACCEPT


iptables -A INPUT -j LOGDROP




iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -A FORWARD -i $LANIF -d $LANNETWORK -j ACCEPT


iptables -A FORWARD -i $LANIF -d $SMTPGW -p tcp --dport 26 -j ACCEPT


iptables -A FORWARD -i $LANIF -d 192.168.0.0/16 -j DROP


iptables -A FORWARD -i $LANIF -p ICMP -j ACCEPT


iptables -A FORWARD -i $LANIF -p tcp -m multiport --dports 80,110,143,443,465,993,995,1723 -j ACCEPT


iptables -A FORWARD -i $LANIF -p gre -j ACCEPT


iptables -A FORWARD -j LOGDROP



iptables -t nat -A POSTROUTING  -o $WANIF -s $LANNETWORK -j MASQUERADE


iptables -t nat -A POSTROUTING -o $WANIF -s $LANNETWORK -d $SMTPGW -j SNAT --to $WANIF_IP