Степень разделения: введение в DMZ

                                     В  предыдущем разделе, вы увидели как настроить сервисы в вашей  локальной  сети и сделать их  выборочно  доступными  из  внешнего  мира  посредством  разумного  набора правил PF. Для более точного контроля над доступом к вашей внутренней сети, а также сервисам, которые вам нужно  сделать видимым для остального мира, добавить степень физического  разделения. Даже отдельные виртуальные локальные сети (VLAN) будут делать это красиво.

Достижение физического и логического разделения довольно легко: просто преместить машины, что работают с публичными сервисами отделить в свою сеть, прикрепленной к отдельному интерефейсу  на  шлюзе.  Конечным  результатом  является  отдельная  сеть, которая не является частью вашей локальной сети, и не является частью сети интернет. Концептуально, отделённая сеть выглядит как на рисунке 5-2.

Рисунок 5-2. Сеть с серверами в DMZ

Замечание:

Думайте об этой маленькой сети как о зоне относительного затишься между территориями враждебных фракций.  Нет ничего удивительного, что несколько лет назад, кто-то придумал фразу демилитаризованной зоны, или кратко DMZ, чтобы описать этот тип конфигурации.

Для распределения адресов, вы можете отщипнуть кусочек от вашего  официального адресного пространства для новой сети DMZ. Кроме того, вы можете переместить те части вашей сети, которые не имеют особой необходимости запускаться с публичным доступом и маршрутизируемыми адресами внутри NAT окружения. В любом случае, вам в конечном итоге понадобится еще один интерфейс, трафик которого необходимо будет фильтровать. Как вы увидите позже, можно запустить установку DMZ во всех NAT средах, а также если вам действительно не хватает официальных адресов.

Корректировка набора  правил  ставит  перед  собой  задачу  не  быть  обширной.  Если

необходимо, вы можете изменить конфигурацию для каждого интерфейса. Базовая логика набора правил остается, но вам может понадобится для настройки пределения макросов (веб-сервер, почтовый сервер, сервер имен, и возможно другие), чтобы отразить новую схему сети.

В нашем примере, мы могли бы выбрать часть сегмента нашего диапазона адресов, где мы уже разместили наши серверы. Если мы оставим некоторое пространство для роста, мы можем  настроить  новый  dmz_if  на  /25  маске  с  сетевым  адресом  и  маской  подсети 192.0.2.128/255.255.255.128. Это оставит нас с диапазоном от 192.0.2.129 по 192.0.2.254 как используемый диапазон  адресов для хостов в DMZ. С этой конфигурацией и без изменений в IP адреса, назначенных серверам, вам действительно не нужно трогать набор правил   для  всех  для  фильтрации  пакетов  для  работы  после  создания   физически отдельного DMZ.

То есть приятный побочный эффект, который может быть связан либо с ленью, либо с отличным  долгосрочным  планированием. В  любом  случае,  он  подчеркивает важность наличия разумного распределения адресной политики на месте. Это может быть полезно для  того,  чтобы  подтянуть  ваш  набор   правил,  отредактировав  ваши  правила  для проходящего трафика таким образом, чтобы разрешить передавать трафик только на те интерфейсы, которые имеют отношение к вашим сервисам.

pass in on $ext_if proto { tcp, udp } to $nameservers port domain pass in on $int_if proto { tcp, udp } from $localnet to $nameservers \ port domain

pass out on $dmz_if proto { tcp, udp } to $nameservers port domain pass in on $ext_if proto tcp to $webserver port $webports

pass in on $int_if proto tcp from $localnet to $webserver port $webports pass out on $dmz_if proto tcp to $webserver port $webports

pass in log on $ext_if proto tcp to $mailserver port smtp

pass in log on $int_if proto tcp from $localnet to $mailserver port $email pass out log on $dmz_if proto tcp to $mailserver port smtp

pass in on $dmz_if from $mailserver to port smtp

pass out log on $ext_if proto tcp from $mailserver to port smtp

Вы   могли   бы   написать   другие   разрешающие  правила,  которые   характеризуют специфичные интерфейсы вашей локальную сеть, но если вы оставите всё как есть они будут продолжать работать.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий