Firewally a NATFirewally a NAT
Informační technologie - praxeInformační technologie - praxe
SPŠE V úžlabiněSPŠE V úžlabině
Jan Klepal, Mgr. Radka MüllerováJan Klepal, Mgr. Radka Müllerová
Verze 2
ObsahObsah
Linková vrstva IP protokoluLinková vrstva IP protokolu
TCP a UDP protokolTCP a UDP protokol
Stavový a nestavový firewallStavový a nestavový firewall
NAT – sdílení připojení k internetuNAT – sdílení připojení k internetu
Linux: iptablesLinux: iptables Konfigurace firewalluKonfigurace firewallu KonfiguraceKonfigurace NATNAT
L4: L4: Linková vrstva IP protokoluLinková vrstva IP protokolu
Umožňuje provozování několika síťových aplikací na Umožňuje provozování několika síťových aplikací na jednom počítači (jedné IP adrese).jednom počítači (jedné IP adrese).
Jednotlivé aplikace jsou adresovány pomocí Jednotlivé aplikace jsou adresovány pomocí portůportů (0-65535). (0-65535). Pro zápis s IP adresou se používá tvar: Pro zápis s IP adresou se používá tvar: 10.0.0.1:8010.0.0.1:80
Zajišťuje spolehlivé nebo nespolehlivé spojení mezi Zajišťuje spolehlivé nebo nespolehlivé spojení mezi počítači.počítači.
TCPTCP (Transmission Control Protocol) – spolehlivé spojení. (Transmission Control Protocol) – spolehlivé spojení. UDPUDP (User Datagram Protocol) – nespolehlivé spojení. (User Datagram Protocol) – nespolehlivé spojení. Pro zápis se používá tvar: 80/tcpPro zápis se používá tvar: 80/tcp
Tato vrstva rozděluje přenášená data do Tato vrstva rozděluje přenášená data do segmentůsegmentů tak, tak, aby mohly být přeneseny linkovou vrstvou.aby mohly být přeneseny linkovou vrstvou.
TCP a UDP portyTCP a UDP porty
Každá Každá službaslužba (web, mail, ftp atd.) využívá na (web, mail, ftp atd.) využívá na serveru serveru TCPTCP nebo nebo UDP portUDP port na kterém očekává na kterém očekává spojení (port je v LISTEN stavu).spojení (port je v LISTEN stavu).Program, který se připojuje k nějaké službě Program, který se připojuje k nějaké službě vybere nepoužívaný port a následná vybere nepoužívaný port a následná komunikace probíhá pomocí vybraného portu na komunikace probíhá pomocí vybraného portu na klientské straně a portu služby na serverové klientské straně a portu služby na serverové straně.straně.Rozdělení portůRozdělení portů 0 – 1023: 0 – 1023: commoncommon//well-knownwell-known ports ports 1024 – 49151: 1024 – 49151: registeredregistered ports ports 49152 – 65535: 49152 – 65535: dynamic/privatedynamic/private ports ports
TCP a UDP protyTCP a UDP proty
HTTP: 80/tcp
SMTP: 25/tcp
DNS: 53/udp
Systém1024/udp
10.10.1.100
10.10.3.1
10.10.1.100
10.10.3.1
1024
53
DNS: jakou IP máiserver.uzlabina.cz
10.10.3.1
10.10.1.100
53
1024DNS: 10.10.3.1
Dotaz:
Odpověď:
TCP a UDP protyTCP a UDP proty
HTTP: 80/tcp
SMTP: 25/tcp
DNS: 53/udp
Mozilla1025/tcp
10.10.1.100
10.10.3.1
10.10.1.100
10.10.3.1
1025
80
HTTP: iserver.uzlabina.cz
10.10.3.1
10.10.1.100
80
1025
Hlavní stránkaiserver.uzlabina.cz
Dotaz:
Odpověď:
TCP a UDP protyTCP a UDP proty
HTTP: 80/tcp
SMTP: 25/tcp
DNS: 53/udp
Outlook1026/tcp
10.10.1.100
10.10.3.1
10.10.1.100
10.10.3.1
1026
25
SMTP: odesláníe-mailové zprávy
10.10.3.1
10.10.1.100
25
1026
SMTP: potvrzenípříjmu zprávy
Dotaz:
Odpověď:
TCP a UDP protokolTCP a UDP protokol
SYN (seq=1)
ACK=2, SYN (seq=100)
ACK=101, DATA (seq=3)
ACK=4
DATA (seq=102)
ACK=103
DATA (seq=104)
ACK=105, FIN=5
ACK=6
FIN=105
ACK=106
TCPCLOSED
LISTEN
SYN_SENT
SYN_RCVD
ESTABLISHED
CLOSE_WAIT
LAST_ACK
FIN_WAIT1
CLOSING
FIN_WAIT2
TIME_WAIT
TCP a UDP protokolTCP a UDP protokol
Window sizeWindow size určuje kolik paketů může být určuje kolik paketů může být odesláno, aniž by odesilatel přijal potvrzení o odesláno, aniž by odesilatel přijal potvrzení o jejich příjmu (ACK)jejich příjmu (ACK)
Hodnota window size je standardně Hodnota window size je standardně 6553565535, , odesílatel tedy může odeslat 64kB dat (cca 44 odesílatel tedy může odeslat 64kB dat (cca 44 paketů – 1500 bajtové pakety)paketů – 1500 bajtové pakety)
Maximální hodnota je 1 073 741 823BMaximální hodnota je 1 073 741 823B
V případě, že počítače nepodporují window V případě, že počítače nepodporují window scaling, je window size nastaveno na scaling, je window size nastaveno na 4kB4kB
TCP a UDP protokolTCP a UDP protokolTCP
ACK= 1000
Window = 3000
ACK= 4000
Window = 4000
SEQ=1000
SEQ=2000SEQ=3000
SEQ=4000
SEQ=5000SEQ=6000
SEQ=7000
TCP a UDP protokolTCP a UDP protokol
DATA
DATA
DATA
DATA
UDP
TCP a UDP protokolTCP a UDP protokol
TCPTCP SpolehlivýSpolehlivý (spojovaný) přenos. (spojovaný) přenos. Protokol sám opětovně přenáší ztracené pakety (o přijmutí segmentu je Protokol sám opětovně přenáší ztracené pakety (o přijmutí segmentu je
vždy informována vysílající strana) .vždy informována vysílající strana) . Aby zpoždění při přenosu neovlivňovalo maximální rychlost linky Aby zpoždění při přenosu neovlivňovalo maximální rychlost linky
využívá se využívá se window-sizewindow-size = maximální počet odeslaných segmentů než je = maximální počet odeslaných segmentů než je vyžadováno potvrzení o přijmutí druhou stranou (ACK)vyžadováno potvrzení o přijmutí druhou stranou (ACK)
Forma spojení se nazývá Forma spojení se nazývá 3-way handshake3-way handshake Port je vždy v definovaném stavu na základě toho, zda se spojení Port je vždy v definovaném stavu na základě toho, zda se spojení
sestavuje, probíhá nebo ukončuje.sestavuje, probíhá nebo ukončuje.UDPUDP
NespolehlivýNespolehlivý (nespojovaný) přenos. (nespojovaný) přenos. Používá se pro Používá se pro broadcasty a multicastybroadcasty a multicasty.. Jednodušší implementace než TCP.Jednodušší implementace než TCP. Používá se u aplikací kde je klíčová doba zpoždění přenosu dat (IP Používá se u aplikací kde je klíčová doba zpoždění přenosu dat (IP
telefonie, hry, DNS).telefonie, hry, DNS).
FirewallyFirewally
Základní funkcí firewallů je Základní funkcí firewallů je povolování nebo blokování povolování nebo blokování portůportů (tedy jednotlivých aplikací) (tedy jednotlivých aplikací)Firewally většinou pracují na základě informací Firewally většinou pracují na základě informací 2., 3. a 4. 2., 3. a 4. vrstvy OSI modeluvrstvy OSI modelu (MAC adresy, IP adresy, TCP/UDP (MAC adresy, IP adresy, TCP/UDP porty)porty)Některé firewally mají implementovány funkce pro Některé firewally mají implementovány funkce pro blokování provozu na základě přenášených dat blokování provozu na základě přenášených dat (transparentní proxy, e-mailové antiviry atd.)(transparentní proxy, e-mailové antiviry atd.)Existují dva základní druhy firewallůExistují dva základní druhy firewallů
NestavovýNestavový – každý paket je vyhodnocován zvlášť – každý paket je vyhodnocován zvlášť StavovýStavový – firewall rozpozná zda paket patří do již probíhajícího – firewall rozpozná zda paket patří do již probíhajícího
spojení nebo jde o nové spojeníspojení nebo jde o nové spojení
NAT plní funkci firewalluNAT plní funkci firewallu z hlediska ochrany počítačů z hlediska ochrany počítačů vnitřní sítě, vnitřní sítě, nejedná se však o firewallnejedná se však o firewall!!
Stavový a nestavový firewallStavový a nestavový firewallNESTAVOVÝ:NESTAVOVÝ:Povolení prohlížení WWW stránek:Povolení prohlížení WWW stránek:
POVOL:POVOL: SRC IP: 10.10.1.0/24SRC IP: 10.10.1.0/24 SRC PORT: 1024 – 65535SRC PORT: 1024 – 65535 DST PORT: 53DST PORT: 53 PROTOKOL: UDPPROTOKOL: UDP
POVOL:POVOL: SRC IP: 10.10.1.0/24SRC IP: 10.10.1.0/24 SRC PORT: 1024 – 65535SRC PORT: 1024 – 65535 DST PORT: 80DST PORT: 80 PROTOKOL: TCPPROTOKOL: TCP
POVOL:POVOL: DST IP: 10.10.1.0/24DST IP: 10.10.1.0/24 SRC PORT: 53SRC PORT: 53 DST PORT: 1024 – 65535DST PORT: 1024 – 65535 PROTOKOL: UDPPROTOKOL: UDP
POVOLPOVOL:: DST IP: 10.10.1.0/24DST IP: 10.10.1.0/24 SRC PORT: 80SRC PORT: 80 DST PORT: 1024 – 65535DST PORT: 1024 – 65535 PROTOKOL: TCPPROTOKOL: TCP
ZAKAŽ:ZAKAŽ: VšeVše
SATVOVÝ:SATVOVÝ:Povolení prohlížení WWW stránek:Povolení prohlížení WWW stránek:
POVOL:POVOL: Existující spojeníExistující spojení
POVOL:POVOL: SRC IP: 10.10.1.0/24SRC IP: 10.10.1.0/24 SRC PORT: 1024 – 65535SRC PORT: 1024 – 65535 DST PORT: DST PORT: 5353 PROTOKOL: UDPPROTOKOL: UDP
POVOL:POVOL: SRC IP: 10.10.1.0/24SRC IP: 10.10.1.0/24 SRC PORT: 1024 – 65535SRC PORT: 1024 – 65535 DST PORT: 80DST PORT: 80 PROTOKOL: TCPPROTOKOL: TCP
ZAKAŽ:ZAKAŽ: VšeVše
NAT – sdílení připojení k internetuNAT – sdílení připojení k internetu
NAT (NAT (Network Address TranslationNetwork Address Translation) někdy také network ) někdy také network masqueradingmasquerading slouží k překladu privátních IP adres na adresy slouží k překladu privátních IP adres na adresy veřejné. Nejčastějším typem NAT je veřejné. Nejčastějším typem NAT je 1:N1:N, kdy se překládá , kdy se překládá několik několik privátních adres překládá na jednu veřejnouprivátních adres překládá na jednu veřejnou..Využívá technologie Využívá technologie překladu IP adres na TCP a UDP porty.překladu IP adres na TCP a UDP porty.Proces překladu adres zajišťuje kernel operačního systému.Proces překladu adres zajišťuje kernel operačního systému.Výhody:Výhody:
Šetření IP adresamiŠetření IP adresami Částečně funguje jako firewallČástečně funguje jako firewall
Nevýhody:Nevýhody: Spojení může zahajovat pouze klient v privátní sítiSpojení může zahajovat pouze klient v privátní síti Vyšší nároky na router, který provádí NATVyšší nároky na router, který provádí NAT NAT zpomalilo nasazení IPv6NAT zpomalilo nasazení IPv6
NAT – sdílení připojení k internetuNAT – sdílení připojení k internetu10.10.1.100
10.10.1.200
10.10.1.254 84.42.148.36
80.250.14.250
10.10.1.100
80.250.14.250
1024
80
HTTP: www.uzlabina.cz84.42.148.36
80.250.14.250
1024
80
HTTP: www.uzlabina.cz
80.250.14.250
84.42.148.36
80
1024
Hlavní stránkawww.uzlabina.cz
80.250.14.250
10.10.1.100
80
1024
Hlavní stránkawww.uzlabina.cz
10.10.1.200
80.250.14.250
1024
80
HTTP: www.uzlabina.cz84.42.148.36
80.250.14.250
1025
80
HTTP: www.uzlabina.cz
80.250.14.250
84.42.148.36
80
1025
Hlavní stránkawww.uzlabina.cz
80.250.14.250
10.10.1.200
80
1024
Hlavní stránkawww.uzlabina.cz
Zdrojová IP adresaZdrojová IP adresa Zdrojový portZdrojový port Překlad portuPřeklad portu Cílová adresaCílová adresaZdrojová IP adresaZdrojová IP adresa Zdrojový portZdrojový port Překlad portuPřeklad portu Cílová adresaCílová adresa
10.10.1.10010.10.1.100 10241024 10241024 80.250.14.25080.250.14.250
Zdrojová IP adresaZdrojová IP adresa Zdrojový portZdrojový port Překlad portuPřeklad portu Cílová adresaCílová adresa
10.10.1.10010.10.1.100 10241024 10241024 80.250.14.25080.250.14.250
10.10.1.20010.10.1.200 10241024 10251025 80.250.14.25080.250.14.250
NAT – NAT – servery v privátní části sítěservery v privátní části sítě
NATNAT neumožňuje příchozí spojení ze strany neumožňuje příchozí spojení ze strany veřejné IP adresy na počítače s privátními veřejné IP adresy na počítače s privátními adresami.adresami. port-FORWARDingport-FORWARDing – určitý port je přesměrován na – určitý port je přesměrován na
privátní IP adresuprivátní IP adresu exposed hostexposed host – všechny příchozí spojení jsou – všechny příchozí spojení jsou
přesměrovány na privátní IP adresupřesměrovány na privátní IP adresu
10.10.1.100
10.10.1.200
10.10.1.254 84.42.148.36
80.250.14.250
10.10.1.1
FORWARD 25/tcp ► 10.10.1.1
80.250.14.250
84.42.148.36
1024
25
SMTP: zpráva pro [email protected]
80.250.14.250
10.10.1.1
1024
25
SMTP: zpráva pro [email protected]
NATNAT – operace kernelu – operace kernelu
Překlad adres může kernel provádět:Překlad adres může kernel provádět: PREROUTINGPREROUTING – ještě než se vyhodnotí kterým – ještě než se vyhodnotí kterým
rozhraním bude paket dále odeslánrozhraním bude paket dále odeslán POSTROUTINGPOSTROUTING – po určení rozhraní, kterým paket – po určení rozhraní, kterým paket
opustí routeropustí router OUTPUTOUTPUT – pro lokálně generované pakety – pro lokálně generované pakety
Pro výběr vhodného místa překladu platí:Pro výběr vhodného místa překladu platí: Změna cílové adresy = PREROUTINGZměna cílové adresy = PREROUTING Změna zdrojové adresy = POSTROUTINGZměna zdrojové adresy = POSTROUTING Pakety lokálních aplikací = OUTPUTPakety lokálních aplikací = OUTPUT
Konfigurace firewalluKonfigurace firewallu
Pro konfiguraci firewallů se volí Pro konfiguraci firewallů se volí restriktivní restriktivní politikapolitika, tedy nejprve vše zakázat a povolovat , tedy nejprve vše zakázat a povolovat jen požadované služby.jen požadované služby.Firewally většinou pracují se seznamy pravidel, Firewally většinou pracují se seznamy pravidel, které postupně procházejí. Při schodě paketu s které postupně procházejí. Při schodě paketu s pravidlem je pravidlo vykonáno a další pravidla pravidlem je pravidlo vykonáno a další pravidla se již nezpracovávají.se již nezpracovávají.Firewally umožňují záznam provozuFirewally umožňují záznam provozu Nepovolený provozNepovolený provoz – logují se pakety, které – logují se pakety, které
nevyhovují žádnému pravidlu (ty, které se zahazují)nevyhovují žádnému pravidlu (ty, které se zahazují) Všechna spojeníVšechna spojení – logují se TCP SYN pakety a první – logují se TCP SYN pakety a první
pakety UDP spojenípakety UDP spojení
Konfigurace firewalluKonfigurace firewallu
Základní součástí linuxového kernelu je filtr Základní součástí linuxového kernelu je filtr iptablesiptables, konfiguruje se , konfiguruje se pomocí utility stejného názvupomocí utility stejného názvuJsou definovány tři základní Jsou definovány tři základní tabulkytabulky, které obsahují , které obsahují chainchainy definující y definující na který typ spojení budou pravidla aplikovánana který typ spojení budou pravidla aplikována
filterfilter – blokování provozu – blokování provozuINPUTINPUT – data která vstupují do počítače a jsou určena pro lokální aplikace – data která vstupují do počítače a jsou určena pro lokální aplikaceOUTPUTOUTPUT – data opouštějící počítač, která jsou generována aplikacemi – data opouštějící počítač, která jsou generována aplikacemiFORWADFORWAD – data která pouze procházejí počítačem – data která pouze procházejí počítačem
natnat – nastavení NAT – nastavení NATPREROUTINGPREROUTING – data ihned po vstupu do počítače (před routováním) – data ihned po vstupu do počítače (před routováním)POSTROUTINGPOSTROUTING – data před opuštěním počítače (po routování) – data před opuštěním počítače (po routování)OUTPUTOUTPUT – data která lokálních aplikací – data která lokálních aplikací
manglemangle – mění parametry paketů – mění parametry paketůObsahuje všechny chainy, které jsou definovány v tabulkách filter a nat: Obsahuje všechny chainy, které jsou definovány v tabulkách filter a nat: PREROUTING, PREROUTING, FORWARDFORWARD, OUTPUT, FORWARD, POSTROUTING, OUTPUT, FORWARD, POSTROUTING
Linux iptables: filterLinux iptables: filter
routovacítabulka
INPUT
lokálníproces
OUTPUT
FORWARD
lokální pakety routované pakety
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
mangle
PREROUTING
nat
PREROUTING
routovacítabulka
mangle
INPUT
mangle
FORWARD
filter
INPUT
lokálníproces
mangle
OUTPUT
nat
OUTPUT
filter
OUTPUT
filter
FORWARD
mangle
POSTROUTING
nat
POSTROUTING
lokální pakety routované pakety
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Síťové rozhraní
Konfigurace firewalluKonfigurace firewallu
iptables tabulky:iptables tabulky: -t -t <tabulka><tabulka> – – název tabulky (filter je standardní)název tabulky (filter je standardní)
iptables chainy:iptables chainy: -L -L <chain><chain> – – výpis pravidelvýpis pravidel -P -P <chain><chain> – – nastaví policii chainunastaví policii chainu -A -A <chain><chain> – – přidá pravidlo na konecpřidá pravidlo na konec -I -I <chain><chain> – – přidá pravidlo na začátekpřidá pravidlo na začátek -D -D <chain><chain> – – vymaže pravidlovymaže pravidlo -Z -Z <chain><chain> – – vynuluje počítadla pravidelvynuluje počítadla pravidel -F -F <chain><chain> – – vymaže všechna pravidlavymaže všechna pravidla --NN <chain><chain> –– vytvoří chain vytvoří chain -X -X <chain><chain> –– smaže chain smaže chain
iptables akce:iptables akce: -j -j <akce><akce> – – nastaví akci, která bude provedena s paketemnastaví akci, která bude provedena s paketem ACCEPT, DROP, REJECT, LOG, MANGLE, SNAT, DNAT, MASQACCEPT, DROP, REJECT, LOG, MANGLE, SNAT, DNAT, MASQ
Konfigurace firewalluKonfigurace firewallu
RozhraníRozhraní -i -i <<ifaceiface>> – – rozhraní, kterým paket vstoupil rozhraní, kterým paket vstoupil -o -o <<ifaceiface>> – – rozhraní, kterým paket opustí počítačrozhraní, kterým paket opustí počítač
IP adresy:IP adresy: -s -s <<ipip>> – – zdrojová adresa zdrojová adresa -d -d <<ipip>> – – cílová adresa cílová adresa
Protokol:Protokol: -p -p <<protokolprotokol>> – – protokol (tcp, udp, icmp) protokol (tcp, udp, icmp)
Port (musí být definován protokol):Port (musí být definován protokol): --sport --sport <<port:portport:port>> – – zdrojový port zdrojový port --dport --dport <<port:portport:port>> – – cílový port cílový port
Moduly:Moduly: -m -m <<modulmodul>> – – použije modul použije modul
Konfigurace firewalluKonfigurace firewallu
Moduly:Moduly: statestate – stavový firewall – stavový firewall
--state --state <stav><stav> NEWNEW – nové spojení – nové spojení ESTABLISHEDESTABLISHED – probíhající spojení TCP – probíhající spojení TCP RELATEDRELATED – probíhající spojení UDP – probíhající spojení UDP INVALIDINVALID – paket, který nepatří do spojení – paket, který nepatří do spojení
llimitimit – omezení počtu paketů v čase – omezení počtu paketů v čase--limit--limit < <početpočet>>
mac mac – – shoda MAC adresyshoda MAC adresy----mac-source <MAC adresa>mac-source <MAC adresa>
Konfigurace nestavového firewalluKonfigurace nestavového firewallu
iptables –Ziptables -F
iptables –P FORWARD DROP
iptables –A FORWARD –s 10.10.1.100 –p udp –-sport 1024:65535 –-dport 53 –j ACCEPTiptables –A FORWARD –d 10.10.1.100 –p udp –-sport 53 –-dport 1024:65535 –j ACCEPT
iptables –A FORWARD –s 10.10.1.100 –p tcp –-sport 1024:65535 –-dport 80 –j ACCEPTiptables –A FORWARD –d 10.10.1.100 –p tcp –-sport 80 –-dport 1024:65535 –j ACCEPT
iptables –A FORWARD –s 10.10.1.100 –p tcp –-sport 1024:65535 –-dport 21 –j ACCEPTiptables –A FORWARD –d 10.10.1.100 –p tcp –-sport 21 –-dport 1024:65535 –j ACCEPTiptables –A FORWARD –s 10.10.1.100 –p tcp –-sport 1024:65535 –-dport 20 –j ACCEPTiptables –A FORWARD –d 10.10.1.100 –p tcp –-sport 20 –-dport 1024:65535 –j ACCEPT
Konfigurace stavového firewalluKonfigurace stavového firewallu
iptables –Ziptables -F
iptables –P FORWARD DROP
iptables –A FORWARD –m state -–state NEW –p udp -–dport 53 –j ACCEPTiptables –A FORWARD –m state -–state NEW –p tcp –-dport 80 –j ACCEPTiptables –A FORWARD –m state -–state NEW –p tcp –-dport 21 –j ACCEPT
iptables –A FORWARD –m state -–state RELATED,ESTABLISHED –j ACCEPT
Konfigurace NATKonfigurace NAT
iptables –t nat –Ziptables –t nat -F
iptables –t nat –A POSTROUTING –o eth1 –j SNAT –-to 80.250.2.193iptables –t nat –A POSTROUTING –o eth2 –j MASQ
iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 25 –j DNAT –-to 10.10.3.1
Reálné nasazení FW a NATReálné nasazení FW a NAT
10.10.1.180.250.1.1
iptables –P INPUT DROP
iptables –A INPUT –m state –-state NEW –j LOGiptables –A INPUT –m state --state RELATED,ESTABLISHED –j ACCEPTiptables –A INPUT –m state –-state INVALID –j DROPiptables –A INPUT –m limit --limit 4/s –p icmp –j ACCEPTiptables –A INPUT –p udp --sport 1024:65535 --dport 33434:33465 –j ACCEPT
iptables –A INPUT –p tcp –-dport 25 –j ACCEPTiptables –A INPUT –i eth0 –p udp –-dport 53 –j ACCEPTiptables –A INPUT –i eth0 –p tcp –-dport 80 –j ACCEPTiptables –A INPUT –i eth0 –p tcp –-dport 110 –j ACCEPTiptables –A INPUT –j LOGiptables –A INPUT –j REJECT
eth1 eth0
10.10.1.10
10.10.1.11
Reálné nasazení FW a NATReálné nasazení FW a NAT
10.10.1.180.250.1.1
iptables –P OUTPUT DROP
iptables –A OUTPUT –i lo –j ACCEPTiptables –A OUTPUT –m state --state RELATED,ESTABLISHED –j ACCEPTiptables –A OUTPUT –m state –-state INVALID –j DROPiptables –A OUTPUT –p icmp –j ACCEPTiptables –A OUTPUT –p udp --sport 1024:65535 --dport 33434:33465 –j ACCEPT
iptables –A OUTPUT –o eth1 –p tcp –-sport 25 –j ACCEPTiptables –A OUTPUT –o eth1 –p udp –-dport 53 –j ACCEPTiptables –A OUTPUT –o eth1 –p tcp –-dport 80 –j ACCEPTiptables –A OUTPUT –o eth1 –p tcp –-dport 21 –j ACCEPTiptables –A OUTPUT –j REJECT
eth1 eth0
10.10.1.10
10.10.1.11
Reálné nasazení FW a NATReálné nasazení FW a NAT
10.10.1.180.250.1.1
iptables –P FORWARD DROP
iptables –A FORWARD –m state –-state NEW –j LOGiptables –A FORWARD –m state --state RELATED,ESTABLISHED –j ACCEPTiptables –A FORWARD –m state –-state INVALID –j DROPiptables –A FORWARD –m limit --limit 4/s –p icmp –j ACCEPTiptables –A FORWARD –p udp --sport 1024:65535 --dport 33434:33465 –j ACCEPT
iptables –A FORWARD –i eth1 –d 10.10.1.10 –p tcp –-dport 3389 –j ACCEPTiptables –A FORWARD –i eth1 –d 10.10.1.11 –p tcp –-dport 3389 –j ACCEPTiptables –A FORWARD –i eth0 –s 10.10.1.12 –p tcp –-dport 80 –j DROPiptables –A FORWARD –i eth0 -j ACCEPTiptables –A FORWARD –j LOGiptables –A FORWARD –j REJECT
eth1 eth0
10.10.1.10
10.10.1.11
Reálné nasazení FW a NATReálné nasazení FW a NAT
10.10.1.180.250.1.1
iptables –t nat –A POSTROUTING –o eth1 –j SNAT –-to 80.250.1.1
iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3389 –j DNAT –-to 10.10.1.10iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3399 –j DNAT –-to 10.10.1.11:3389
eth1 eth0
10.10.1.10
10.10.1.11
iptables –t nat –A POSTROUTING –o eth1 –j MASQ
iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3389 –j DNAT –-to 10.10.1.10iptables –t nat –A PREROUTING –i eth1 –p tcp –-dport 3399 –j DNAT –-to 10.10.1.11:3389
Statická IP:
Dynamická IP: