Настройка m0n0wall

Сразу отметим, что m0n0wall имеет очень простой и удобный в использовании web-интерфейс. Приведённые ниже скриншоты и примеры взяты при установке m0n0wall на платформу Soekris net4501, но при использовании других образов m0n0wall интерфейс будет таким же.

После перехода по IP-адресу брандмауэра m0n0wall, система запросит имя пользователя и пароль, после чего вы попадёте непосредственно на страницу статуса (Рис. 6).

Административный web-интерфейс достаточно прост - все функции и группы сгруппированы и расположены в левой части, а сами параметры выбранной группы отображаются в правой части экрана.

Точно так же, как и большинство других брандмауэров, m0n0wall уже реализует ряд параметров безопасности даже при настройке по умолчанию. Перечислим наиболее важные.

• Интерфейс WAN настроен на получение параметров IP по DHCP.
• Трафик, поступающий на интерфейс LAN, пропускается на любой другой интерфейс, будь то WAN или опциональный.
• Трансляция адресов NAT по умолчанию включена; весь исходящий трафик уходит от имени внешнего интерфейса, то есть от IP-адреса WAN.
• Поступающий на WAN-интерфейс трафик блокируется.

Что касается администрирования, то здесь действуют следующие ограничения.

• Администрирование разрешено только с внутреннего интерфейса LAN на внутренний IP-адрес (по умолчанию 192.168.1.1/24) порт 80 (http).
• Сервер DHCP включён для интерфейса LAN и настроен на использование адресов из диапазона 192.168.1.100 - 199. Настроено перенаправление запросов DNS, что позволяет компьютерам, подключенным к интерфейсу LAN, использовать внутренний IP-адрес брандмауэра как адрес сервера DNS. Запросы перенаправляются на серверы DNS, указанные статически или полученные при WAN-подключении по DHCP / PPP.
• Часовой пояс установлен на Etc/UTC, при этом каждые пять часов выполняется синхронизация времени с одним из серверов, указанных в pool.ntp.org.

Настроек по умолчанию будет достаточно для большинства сценариев, в которых необходимо предоставить в небольшой сети TCP/IP защищённый доступ в Интернет. Все остальные службы отключены.

Кстати, pool.ntp.org - это добровольный проект, предоставляющий доступ к серверам времени. Проект использует "Round Robin" DNS для распределения запросов на достаточно большое число серверов, в настоящее время их насчитывается 188.

Параметры, которые вы, скорее всего, пожелаете изменить сразу же после включения, находятся на странице System -> General (Рис. 7):

• Имя пользователя и пароль. Не стоит напоминать, что значения, установленные по умолчанию, известны всем. Особенно важно изменить пароль, хотя и изменение имени пользователя не менее эффективно, обеспечивая защиту за счёт неизвестности.
• Часовой пояс необходимо выбрать в соответствии с местоположением.
• Сервер времени NTP. Ваш провайдер, скорее всего, имеет свой сервер NTP, так что укажите его. Обычно DNS-серверы провайдера работают и как серверы NTP.

После этого, нужно настроить параметры TCP/IP для интерфейса WAN, чтобы брандмауэр мог работать с вашим DSL, кабельным модемом, ISDN-терминалом или другим устройством, которое вы используете для доступа в Интернет. Основное требование к устройству - наличие порта Ethernet для подключения к брандмауэру. Параметры настройки интерфейса WAN находятся на странице Interfaces -> WAN (Рис. 8).

Для интерфейса WAN можно выбрать следующее:

• Static - статическая настройка, используется для прямых подключений к другим сетям и маршрутизаторам, когда выделяется статический IP-адрес;
• DHCP - используется как для прямых подключений к другим сетям, так и при работе с кабельными модемами;
• PPPoE - иногда используется с кабельными модемами и с большинством xDSL-модемов;
• PPTP - менее популярно, но, тем не менее, используется некоторыми провайдерами для назначения IP-адресов при кабельных или xDSL-подключениях.

Данные, которые нужно указать для каждого из подключений, вполне понятны, причём, большинство из них вам предоставит провайдер. При выборе способа подключения на странице отобразятся поля, которые нужно заполнить.

При использовании беспроводного адаптера miniPCI можно получить беспроводной доступ к Интернету, однако это выходит за рамки данной статьи.

Кроме того, m0n0wall v1.1 поддерживает Telstra Big Pond, который используется в Австралии.

NAT, PAT и маршрутизация IP-трафика

Если вам нужно разрешить подключение из Интернета к компьютерам, расположенным в локальной сети, то для этого есть несколько вариантов. Во-первых, можно настроить трансляцию сетевых адресов (NAT) с опцией трансляции портов (PAT). Вполне вероятно, что сначала гибкость m0n0wall в этом отношении смутит вас, но только стоит разобраться, и настройка станет простой, понятной и последовательной.

На странице настройки NAT можно выбрать следующие закладки: "Входящий" (Inbound), "Сервер" (Server NAT), "1:1" и "Исходящий" (Outbound). Закладка "Входящий" обеспечивает тот же набор функций, что и большинство других брандмауэров и некоторых маршрутизаторов. Она разрешает подключения к IP-адресу интерфейса WAN, привязывая их к указанному внутреннему IP-адресу сети. Также можно выполнить и перенаправление портов. В качестве примера мы привели привязку входящих соединений SMTP (25) к внутреннему почтовому серверу.

Следующие две закладки удобно использовать в том случае, если провайдер выдал вам несколько внешних адресов. Сервер NAT используется для того, чтобы сопоставить дополнительные внешние адреса с внутренними.

Закладку "1:1" можно использовать в двух случаях. Первый - для сопоставления всех подключений по всем портам внешнего адреса на все порты внутреннего. Это удобно в том случае, если вы используете сервер со множеством служб, что позволяет не задумываться о привязке портов для каждой из них. Второй обеспечивает более мощное решение и позволяет привязывать внутреннюю подсеть к внешней подсети соответствующего размера. Это может оказаться особенно полезным, если нужно настроить несколько доступных снаружи серверов, которые находятся во внутреннем сегменте сети.

И, наконец, закладка "Исходящий" может использоваться для отключения NAT, тогда m0n0wall будет работать как обычный маршрутизатор. При включении галочки расширенной настройки NAT (Enable advanced outbound NAT) вы удалите все созданные автоматически правила. При этом будут только указанные на закладке правила. Здесь вы можете настроить привязки исходящего трафика для определённых внутренних сетей и указанных внешних IP-адресов.

Для закладок "Сервер NAT", "1:1" и "Расширенный исходящий NAT", вероятно, потребуется настроить Proxy ARP, чтобы m0n0wall отвечал на интерфейсе WAN по IP-адресам, отличающимся от IP-адреса порта WAN. Proxy ARP используется вместо обращения к внутреннему серверу по его внешнему IP-адресу (server loopback) - дело в том, что Proxy ARP оказывается удобнее для управления несколькими IP-адресами или даже подсетями.

Примите во внимание, что Proxy ARP работает только в том случае, если WAN-интерфейс настроен на использование статического IP-адреса или DHCP. Он не требуется, если дополнительные IP-адреса маршрутизируются на ваш WAN IP или назначены интерфейсу WAN по PPPoE или PPTP.

Осталось напомнить, что с NAT/PAT работают правила брандмауэра, о которых пойдёт речь далее.

Правила брандмауэра

На Рис. 11 показан интерфейс правил брандмауэра m0n0wall. Правила работают по принципу первого совпадения - то есть пакет будет обработан по первому правилу, которому он соответствует. Для обеспечения максимальной защиты m0n0wall блокирует весь трафик, который не разрешён явным образом. Для удобства в начальной конфигурации задано правило, разрешающее весь исходящий из LAN-интерфейса трафик.

Правило, созданное по умолчанию для интерфейса LAN, находится в нижней части экрана. Правила, расположенные выше, используются для блокирования исходящего трафика NetBIOS. В этом сценарии, при попадании пакета на интерфейс LAN, первым правилом проверяется, что он не предназначается для порта TCP 137-139, для порта 135 - вторым и для порта 445 - третьим. И последнее правило разрешает все остальные пакеты.

То есть пакет с портом назначения 80 (HTTP) не будет заблокирован первыми тремя правилами и будет разрешён последним. Последнее правило очень важно, поскольку оно разрешает проходить всем пакетам, которые не запрещены предыдущими правилами. Если бы этого правила не было, то все пакеты просто блокировались бы параметрами, заданными по умолчанию.

Давайте посмотрим на правила со стороны пакетов, поступающих на интерфейс WAN (Internet). Нижнее правило блокирует все нежелательные пакеты, а правила, расположенные выше, пропускают пакеты, для которых они созданы.

Приведём созданные нами правила.

• Трафик Windows Terminal Services на порт TCP 3389 из определённой сети (JPNET) к внутреннему серверу "homer".
• Трафик HTTPS на порт TCP 443 из JPNET на адрес WAN IP для удалённого администрирования.
• Трафик HTTP на порт TCP 80 из JPNET на адрес WAN IP для удалённого администрирования.
• Трафик HTTPS на порт TCP 443 с любого адреса из Интернета на "homer".
• Трафик HTTP на порт TCP 80 с любого адреса из Интернета на "homer".
• Трафик SMTP на порт TCP 25 с любого адреса из Интернета на "homer".

Весь остальной трафик блокируется правилом по умолчанию m0n0wall для интерфейса WAN.

Очень важный фактор, о котором мы ещё не успели поговорить, - это порядок правил. Покажем его работу на примере. Предположим, что задано правило, пропускающее трафик с интерфейса WAN по порту 21 к внутреннему серверу FTP. Если его расположить после правила блокирования всего трафика, то пакеты будут отброшены правилом "block all" до того, как они дойдут до разрешающего правила. Поэтому для работы правила его следует поместить выше, то есть перед правилом, блокирующим весь трафик.

Отметим, что правила, блокирующие все пакеты, мы создали для наглядности. В любом случае, по умолчанию брандмауэр будет блокировать все не прописанные пакеты. Порядок правил можно легко изменить - для этого нужно воспользоваться кнопками со стрелками, расположенными рядом с каждым из правил. Когда все необходимые изменения выполнены, нужно просто нажать на кнопку "Принять изменения" ("Apply Changes").

Экран редактирования правил также достаточно интуитивен и последователен. На Рис. 12 показано правило, разрешающее проходить трафику MS Terminal Server с внешнего интерфейса на внутренний сервер. Как видно, источник и приёмник указаны как имена JPNET1 и POWERDGE, соответственно. То есть вместо IP-адресов вида 192.168.55.6 можно использовать имена - это ещё одна функция m0n0wall, называемая "псевдонимы" (aliases). Псевдонимы позволяют назначать IP-адресу или подсети понятное имя, которое можно в дальнейшем использовать вместо IP-адреcа или адреса подсети при создании правил и для других действий с m0n0wall.

Кроме того, псевдонимы снимают необходимость обновлять правила брандмауэра при изменении IP-адресов. Например, если ваш провайдер изменил ваш внешний адрес, то всё, что вам потребуется, - это ввести новый адрес в поле с псевдонимом. Все правила брандмауэра, которые были созданы для псевдонима, будут работать как прежде.

оригинал: http://www.thg.ru/network/20041114/monowall-02.html

доп: http://doc.m0n0.ch/handbook/config.html#Config.Console