Нам необходимо ограничить доступ из Интернета во внутреннюю сеть нашей компании и предоставить возможность компьютерам из локальной сети выходить в интернет. Так как в нашей сети доступ разрешен только на веб-сайты, то все запросы на 80 порт HTTP пересылаются на прокси-сервер. Доступ к другим службам интернет остается закрытым.
Для запуска firewall добавляем в файл /etc/rc.conf следующие строки:
firewall_enable="YES"
firewall_type="ANTARES"
00100 deny icmp from any to 10.0.0.0/8 via xl0
00200 deny tcp from any to 10.0.0.0/8 via xl0 setup
00300 deny tcp from any to 192.168.111.106 80,3128,3306,25 via xl0 setup
00400 fwd 10.1.0.1,3128 tcp from 10.1.0.0/24 to any 80
00500 fwd 10.1.0.1,3128 tcp from 10.1.1.0/24 to any 80
00600 allow icmp from any to any
00900 allow udp from any to any
01000 allow ip from any to any via lo0
01100 deny ip from any to 127.0.0.0/8
01200 deny ip from 127.0.0.0/8 to any
01300 allow ip from any to any
65535 deny ip from any to any
Настройка маршрутизации
Для обеспечения доступа из локальной сети предприятия в сеть интернет необходимо настроить маршрутизацию. Для обеспечения доступа подсети 10.1.1.0/24 добавляется статический маршрут при загрузке. В файл /etc/rc.conf вносятся изменения (см. выше). При этом таблица маршрутизации выглядит следующим образом:
netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.111.1 UGSc 63 11366 xl0
10.1/24 link#1 UC 4 0 tx0
10.1.0.1 00:e0:29:74:6e:d8 UHLW 0 480 lo0
10.1.0.5 00:04:76:d1:68:94 UHLW 4 33204 tx0 684
10.1.0.3 00:04:76:d1:67:5b UHLW 0 2943 tx0 843
10.1.0.255 ff:ff:ff:ff:ff:ff UHLWb 0 1038 tx0
10.1.1/24 10.1.0.2 UGSc 2 102259 tx0
127.0.0.1 127.0.0.1 UH 4 5901 lo0
192.168.111 link#2 UC 2 0 xl0
192.168.111.1 00:30:48:21:ae:49 UHLW 62 42 xl0 1133
192.168.111.106 00:04:76:d1:67:fa UHLW 0 12 lo0
Организация кэширующего DNS – сервера
В данной конфигурации на маршрутизаторе устанавливается только кэширующий сервер имен. Самый распространенный сервер DNS и распространяющийся со всеми системами UNIX – это сервер BIND (Berkeley Internet Name Domain). В целях обеспечения безопасности используется одна из последних версий этого демона – BIND 9.3.0. Также ограничиваются адреса с которых DNS может принимать запросы адресами наших локальных подсетей. Для создания данной конфигурации выполняется команда
cd /etc/nameddb/
sh make-localhost
И записывается в файл
/etc/resolv.conf
наш сервер имен.
domain antares.dom
nameserver 127.0.0.1
Для запуска сервера имен при старте системы записываем в файл
/etc/rc.conf
named_enable="YES"
Файл настройки BIND
/etc/namedb/named.conf
acl "antares" { 10.1.0.0/24; 127.0.0.1; };
options {
directory "/etc/namedb";
pid-file "named.pid";
allow-query { "antares"; };
forwarders { 192.168.1.2; };
query-source address * port 53;
version "ANTARES";
listen-on { 127.0.0.1; 10.1.0.1; };
allow-transfer { none; };
};
zone "." {
type hint;
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.