Организация локальной вычислительной сети для ООО ТПП “Антарес”, страница 19

Нам необходимо ограничить доступ из Интернета во внутреннюю сеть нашей компании и предоставить возможность компьютерам из локальной сети выходить в интернет. Так как в нашей сети доступ разрешен только на веб-сайты, то все запросы на 80 порт HTTP пересылаются на прокси-сервер. Доступ к другим службам интернет остается закрытым.

  Для запуска firewall добавляем в файл /etc/rc.conf следующие строки:

firewall_enable="YES"

firewall_type="ANTARES"

00100 deny icmp from any to 10.0.0.0/8 via xl0

00200 deny tcp from any to 10.0.0.0/8 via xl0 setup

00300 deny tcp from any to 192.168.111.106 80,3128,3306,25 via xl0 setup

00400 fwd 10.1.0.1,3128 tcp from 10.1.0.0/24 to any 80

00500 fwd 10.1.0.1,3128 tcp from 10.1.1.0/24 to any 80

00600 allow icmp from any to any

00900 allow udp from any to any

01000 allow ip from any to any via lo0

01100 deny ip from any to 127.0.0.0/8

01200 deny ip from 127.0.0.0/8 to any

01300 allow ip from any to any

65535 deny ip from any to any

Настройка маршрутизации

Для обеспечения доступа из локальной сети предприятия в сеть интернет необходимо настроить маршрутизацию. Для обеспечения доступа подсети 10.1.1.0/24 добавляется статический маршрут при загрузке. В файл /etc/rc.conf вносятся изменения (см. выше). При этом таблица маршрутизации выглядит следующим образом:

netstat -rn

Routing tables

Internet:

Destination  Gateway  Flags  Refs  Use  Netif Expire

default  192.168.111.1  UGSc  63   11366  xl0

10.1/24  link#1  UC  4  0  tx0

10.1.0.1  00:e0:29:74:6e:d8  UHLW  0  480  lo0

10.1.0.5  00:04:76:d1:68:94  UHLW  4  33204  tx0  684

10.1.0.3  00:04:76:d1:67:5b  UHLW  0  2943  tx0  843

10.1.0.255  ff:ff:ff:ff:ff:ff  UHLWb  0  1038  tx0

10.1.1/24  10.1.0.2  UGSc  2  102259  tx0

127.0.0.1  127.0.0.1  UH  4  5901  lo0

192.168.111  link#2  UC  2  0  xl0

192.168.111.1  00:30:48:21:ae:49  UHLW  62  42  xl0  1133

192.168.111.106  00:04:76:d1:67:fa  UHLW  0  12  lo0

Организация кэширующего DNS – сервера

В данной конфигурации на маршрутизаторе устанавливается только кэширующий сервер имен. Самый распространенный сервер DNS и распространяющийся со всеми системами UNIX – это сервер BIND (Berkeley Internet Name Domain). В целях обеспечения безопасности используется одна из последних версий этого демона – BIND 9.3.0. Также ограничиваются адреса с которых DNS может принимать запросы адресами наших локальных подсетей. Для создания данной конфигурации выполняется команда

cd /etc/nameddb/

sh make-localhost

И записывается  в файл

/etc/resolv.conf

наш сервер имен.

domain antares.dom

nameserver 127.0.0.1

Для запуска сервера имен при старте системы записываем в файл

/etc/rc.conf

named_enable="YES"

Файл настройки BIND

/etc/namedb/named.conf

acl "antares" { 10.1.0.0/24; 127.0.0.1; };

options {

  directory "/etc/namedb";

  pid-file "named.pid";

  allow-query { "antares"; };

  forwarders { 192.168.1.2; };

  query-source address * port 53;

  version "ANTARES";

  listen-on { 127.0.0.1; 10.1.0.1; };

  allow-transfer { none; };

};

zone "." {

  type hint;