Brandväggar och Proxyservers HOWTO (Firewall HOWTO): Avancerade Konfigurationer

9. Avancerade Konfigurationer

Det finns en konfiguration som jag vill gå igenom innan jag avslutar detta dokumentet. Det som jag precis har gått igenom räcker antagligen för de flesta. Men det som följer kommer att visa en mer avancerad konfiguration och kan dessutom klara upp lite frågor. Om du har frågor om det som jag just gått igenom, eller bara är intresserad av mångsidigheten hos proxyservrar och brandväggar, läs vidare.

9.1 Ett stort nätverk med tyngdpunkten på säkerhet

Antag till exempel att du är ledare för en milis och du vill ha ett nätverk. Du har 50 datorer och ett subnät med 32 (5 bitar) IP-adresser. Du behöver lite olika nivåer på access inom nätverket eftersom du säger olika saker till dina anhängare. Därför behöver du skydda vissa delar av nätverket från resten.

Nivåerna är:

Den yttre nivån. Denna nivån är öppen för alla. Det är här där du skrönar och skrävlar för att locka nya frivilliga.
Troop. Detta är nivån för personer som har kommit förbi den yttre nivån. Det är här du lär dem om den elaka statsmakten och hur man gör bomber.
Mercenary. Det är här de riktiga planerna finns. På denna nivån lagras all information om hur den 3:e världens regering skall ta över världen, dina planer härrörande Newt Gingrich, Oklahoma City och vad som verkligen finns i de där hangarerna i area 51.

Att sätta upp nätverket

IP-adresserna arrangeras som följer:

En adress är 192.168.2.255, vilken är broadcastadressen och kan inte användas.
23 av de 32 IP-adresserna allokeras till 23 datorer som skall vara åtkomliga från Internet.
En IP-adress går till en Linuxburk på det nätverket
En går till en annan Linuxburk på det nätverket.
Två IP-adresser går till routern.
Fyra adresser blir över, men ges domännamnen paul, ringo, john och george, bara för att förvilla lite grann.
De skyddade nätverken har båda adresserna 192.168.2.xxx

Sedan byggs två separata nätverk i olika rum. De routas via infraröd Ethernet så de är helt osynliga utanför rummen. Lyckligtvis så fungerar infraröd Ethernet precis som vanlig Ethernet.

Dessa båda nätverk kopplas till en av Linuxburkarna med en extra IP-adress.

Det finns en filserver som kopplar ihop de två skyddade nätverken. Detta för att planerna för att ta över världen involverar några av de högre trupperna. Filservern har adressen 192.168.2.17 för `Troop'-nätverket och 192.168.2.23 för `Mercenary'-nätverket. Den måste ha två olika IP-adresser eftersom den har två nätverkskort. IP-vidareskickning är avstängt.

IP-vidareskickning är även avstängt på de två Linuxburkarna. Routern kommer inte att skicka vidare paket ämnade för 192.168.2.xxx adresser om den inte explicit får sådana direktiv, så Internet kan inte komma in. Anledningen att vidareskickning skall vara avstängt här är att paket från `Troop'-nätverket inte skall kunna nå `Mercenary'-nätverket, och vice versa.

NFS-servern kan även ställas in för att erbjuda olika filer till de olika nätverken. Detta kan bli användbart, och lite trixande med symboliska länkar gör så att vissa filer kan delas av alla. Denna inställning och ett extra nätverkskort gör att denna filservern kan användas av alla tre nätverken.

Att sätta upp proxyservern

Eftersom alla tre nivåerna vill kunna ha koll på Internet för sina egna oärliga syften, så måste alla tre ha access till Internet. Det externa nätverket är direktkopplat till Internet så vi behöver inte anstränga oss med proxyservrar där. `Mercenary' och `Troop' nätverken är bakom brandväggar så vi behöver sätta upp proxyservrar där.

Båda nätverken kommer att sättas upp likartat. Båda är tilldelade samma IP-adresser. Jag lägger in några extra parametrar, bara för att göra det lite mer intressant.

Ingen kan använda filservern för access till Internet. Det skulle öppna filservern för virus och andra hemska saker, och den är hyfsat viktig, så den får inte användas mot Internet.
Vi kommer inte tillåta att trupperna har tillgång till World Wide Web. De är under utbildning och den typen av informationshämtande kan vara skadlig.

Så filen sockd.conf på `Troop'-Linuxburken kommer ha en rad som den här:

    deny 192.168.2.17 255.255.255.255

Och på `Mercenary'-maskinen:

    deny 192.168.2.23 255.255.255.255

Och, `Troop'-Linuxburken har även en rad som denna:

    deny 0.0.0.0 0.0.0.0 eq 80

Detta säger att man skall neka alla maskiner som försöker komma åt port 80 (http porten). Det tillåter fortfarande alla andra tjänster, endast www-access nekas.

Sedan så har båda filerna följande:

    permit 192.168.2.0 255.255.255.0

för att tillåta alla datorer på 192.168.2.xxx nätverket att använda denna proxyserver, förutom de som redan har blivit nekade (dvs filservern och www-access från `Troop'-nätverket).

Så filen sockd.conf på `Troop'-nätverkets Linuxburk kommer se ut så här:

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

och på `Mercenary'-nätverkets Linuxburk ser den ut så här:

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

Detta borde konfigurera allting korrekt. Alla nätverk är isolerade med lagom mängd interaktion. Alla borde vara lyckliga.

Nu, ta över världen!

Nästa Föregående Innehållsförteckning