
Настройка m0n0wall |
![]() |
![]() |
![]() |
Автор: Administrator |
24.10.10 21:38 |
Настройка m0n0wall
Сразу отметим, что m0n0wall имеет очень простой и удобный в использовании web-интерфейс. Приведённые ниже скриншоты и примеры взяты при установке m0n0wall на платформу Soekris net4501, но при использовании других образов m0n0wall интерфейс будет таким же. После перехода по IP-адресу брандмауэра m0n0wall, система запросит имя пользователя и пароль, после чего вы попадёте непосредственно на страницу статуса (Рис. 6).
Рис. 6. Экран статуса m0n0wall.
Административный web-интерфейс достаточно прост - все функции и группы сгруппированы и расположены в левой части, а сами параметры выбранной группы отображаются в правой части экрана. Точно так же, как и большинство других брандмауэров, m0n0wall уже реализует ряд параметров безопасности даже при настройке по умолчанию. Перечислим наиболее важные.
Что касается администрирования, то здесь действуют следующие ограничения.
Настроек по умолчанию будет достаточно для большинства сценариев, в которых необходимо предоставить в небольшой сети TCP/IP защищённый доступ в Интернет. Все остальные службы отключены. Кстати, pool.ntp.org - это добровольный проект, предоставляющий доступ к серверам времени. Проект использует "Round Robin" DNS для распределения запросов на достаточно большое число серверов, в настоящее время их насчитывается 188. Параметры, которые вы, скорее всего, пожелаете изменить сразу же после включения, находятся на странице System -> General (Рис. 7):
Рис. 7. Страница основных настроек.
После этого, нужно настроить параметры TCP/IP для интерфейса WAN, чтобы брандмауэр мог работать с вашим DSL, кабельным модемом, ISDN-терминалом или другим устройством, которое вы используете для доступа в Интернет. Основное требование к устройству - наличие порта Ethernet для подключения к брандмауэру. Параметры настройки интерфейса WAN находятся на странице Interfaces -> WAN (Рис. 8).
Рис. 8. Страница настроек интерфейса WAN
Для интерфейса WAN можно выбрать следующее:
Данные, которые нужно указать для каждого из подключений, вполне понятны, причём, большинство из них вам предоставит провайдер. При выборе способа подключения на странице отобразятся поля, которые нужно заполнить. При использовании беспроводного адаптера miniPCI можно получить беспроводной доступ к Интернету, однако это выходит за рамки данной статьи. Кроме того, m0n0wall v1.1 поддерживает Telstra Big Pond, который используется в Австралии.
NAT, PAT и маршрутизация IP-трафикаЕсли вам нужно разрешить подключение из Интернета к компьютерам, расположенным в локальной сети, то для этого есть несколько вариантов. Во-первых, можно настроить трансляцию сетевых адресов (NAT) с опцией трансляции портов (PAT). Вполне вероятно, что сначала гибкость m0n0wall в этом отношении смутит вас, но только стоит разобраться, и настройка станет простой, понятной и последовательной. На странице настройки NAT можно выбрать следующие закладки: "Входящий" (Inbound), "Сервер" (Server NAT), "1:1" и "Исходящий" (Outbound). Закладка "Входящий" обеспечивает тот же набор функций, что и большинство других брандмауэров и некоторых маршрутизаторов. Она разрешает подключения к IP-адресу интерфейса WAN, привязывая их к указанному внутреннему IP-адресу сети. Также можно выполнить и перенаправление портов. В качестве примера мы привели привязку входящих соединений SMTP (25) к внутреннему почтовому серверу.
Рис. 9. Страница настройки NAT.
Следующие две закладки удобно использовать в том случае, если провайдер выдал вам несколько внешних адресов. Сервер NAT используется для того, чтобы сопоставить дополнительные внешние адреса с внутренними. Закладку "1:1" можно использовать в двух случаях. Первый - для сопоставления всех подключений по всем портам внешнего адреса на все порты внутреннего. Это удобно в том случае, если вы используете сервер со множеством служб, что позволяет не задумываться о привязке портов для каждой из них. Второй обеспечивает более мощное решение и позволяет привязывать внутреннюю подсеть к внешней подсети соответствующего размера. Это может оказаться особенно полезным, если нужно настроить несколько доступных снаружи серверов, которые находятся во внутреннем сегменте сети. И, наконец, закладка "Исходящий" может использоваться для отключения NAT, тогда m0n0wall будет работать как обычный маршрутизатор. При включении галочки расширенной настройки NAT (Enable advanced outbound NAT) вы удалите все созданные автоматически правила. При этом будут только указанные на закладке правила. Здесь вы можете настроить привязки исходящего трафика для определённых внутренних сетей и указанных внешних IP-адресов.
Рис. 10. Страница настройки "Исходящий" NAT.
Для закладок "Сервер NAT", "1:1" и "Расширенный исходящий NAT", вероятно, потребуется настроить Proxy ARP, чтобы m0n0wall отвечал на интерфейсе WAN по IP-адресам, отличающимся от IP-адреса порта WAN. Proxy ARP используется вместо обращения к внутреннему серверу по его внешнему IP-адресу (server loopback) - дело в том, что Proxy ARP оказывается удобнее для управления несколькими IP-адресами или даже подсетями. Примите во внимание, что Proxy ARP работает только в том случае, если WAN-интерфейс настроен на использование статического IP-адреса или DHCP. Он не требуется, если дополнительные IP-адреса маршрутизируются на ваш WAN IP или назначены интерфейсу WAN по PPPoE или PPTP. Осталось напомнить, что с NAT/PAT работают правила брандмауэра, о которых пойдёт речь далее.
Правила брандмауэраНа Рис. 11 показан интерфейс правил брандмауэра m0n0wall. Правила работают по принципу первого совпадения - то есть пакет будет обработан по первому правилу, которому он соответствует. Для обеспечения максимальной защиты m0n0wall блокирует весь трафик, который не разрешён явным образом. Для удобства в начальной конфигурации задано правило, разрешающее весь исходящий из LAN-интерфейса трафик.
Рис. 11. Страница настройки правил брандмауэра.
Правило, созданное по умолчанию для интерфейса LAN, находится в нижней части экрана. Правила, расположенные выше, используются для блокирования исходящего трафика NetBIOS. В этом сценарии, при попадании пакета на интерфейс LAN, первым правилом проверяется, что он не предназначается для порта TCP 137-139, для порта 135 - вторым и для порта 445 - третьим. И последнее правило разрешает все остальные пакеты. То есть пакет с портом назначения 80 (HTTP) не будет заблокирован первыми тремя правилами и будет разрешён последним. Последнее правило очень важно, поскольку оно разрешает проходить всем пакетам, которые не запрещены предыдущими правилами. Если бы этого правила не было, то все пакеты просто блокировались бы параметрами, заданными по умолчанию. Давайте посмотрим на правила со стороны пакетов, поступающих на интерфейс WAN (Internet). Нижнее правило блокирует все нежелательные пакеты, а правила, расположенные выше, пропускают пакеты, для которых они созданы. Приведём созданные нами правила.
Весь остальной трафик блокируется правилом по умолчанию m0n0wall для интерфейса WAN. Очень важный фактор, о котором мы ещё не успели поговорить, - это порядок правил. Покажем его работу на примере. Предположим, что задано правило, пропускающее трафик с интерфейса WAN по порту 21 к внутреннему серверу FTP. Если его расположить после правила блокирования всего трафика, то пакеты будут отброшены правилом "block all" до того, как они дойдут до разрешающего правила. Поэтому для работы правила его следует поместить выше, то есть перед правилом, блокирующим весь трафик. Отметим, что правила, блокирующие все пакеты, мы создали для наглядности. В любом случае, по умолчанию брандмауэр будет блокировать все не прописанные пакеты. Порядок правил можно легко изменить - для этого нужно воспользоваться кнопками со стрелками, расположенными рядом с каждым из правил. Когда все необходимые изменения выполнены, нужно просто нажать на кнопку "Принять изменения" ("Apply Changes").
Рис. 12. Страница редактирования правил брандмауэра.
Экран редактирования правил также достаточно интуитивен и последователен. На Рис. 12 показано правило, разрешающее проходить трафику MS Terminal Server с внешнего интерфейса на внутренний сервер. Как видно, источник и приёмник указаны как имена JPNET1 и POWERDGE, соответственно. То есть вместо IP-адресов вида 192.168.55.6 можно использовать имена - это ещё одна функция m0n0wall, называемая "псевдонимы" (aliases). Псевдонимы позволяют назначать IP-адресу или подсети понятное имя, которое можно в дальнейшем использовать вместо IP-адреcа или адреса подсети при создании правил и для других действий с m0n0wall. Кроме того, псевдонимы снимают необходимость обновлять правила брандмауэра при изменении IP-адресов. Например, если ваш провайдер изменил ваш внешний адрес, то всё, что вам потребуется, - это ввести новый адрес в поле с псевдонимом. Все правила брандмауэра, которые были созданы для псевдонима, будут работать как прежде.
оригинал: http://www.thg.ru/network/20041114/monowall-02.html доп: http://doc.m0n0.ch/handbook/config.html#Config.Console
|
Последнее обновление 18.11.10 14:34 |
