Merhabalar,
ben size iki cikisli bir Firewall'da FTP-proxy ornegi vereyim siz onu
6 farkli ip adresi icin uygulayin.
VLAN_1 _Cikis_IP1
||Firewall-1 || --Internet
VLAN_2 _ Cikis_IP2
Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den
gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw'i olsun.
Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz.
VLAN1 icin
ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021
VLAN2 icin
ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022
sonra pf.confu su sekilde duzenlemeniz gerekecek.
...
nat-anchor ftp-proxy/*
rdr-anchor ftp-proxy/*
rdr pass on $int_if proto tcp from VLAN1 to port ftp - 127.0.0.1 port 8021
rdr pass on $int_if proto tcp from VLAN2 to port ftp - 127.0.0.1 port 8022
anchor ftp-proxy/*
pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any
Bu kural eger cikislar farkli arabirimlerdense gerekir. Ayni arabirim
uzerinden yapiyorsaniz gerekmemesi lazim.
6 farkli ip adresinden cikis yapiyorsaniz 6 farkli ftp-proxy
calistirmaniz lazim.Yukaridakine benzer sekilde.
Sonraki Firewall'da tek bir cikis adresi varsa sadece ftp-proxy'i
calistirmis olmaniz yeterli olur.
Bu arada amaciniz sadece networkleri birbirinden ayirmak ve
gostermemek ise bunun icin iki farkli Firewall yerine tek bir
Firewall'a yeteri kadar interface takarak yapmayi denediniz mi?
Ihtiyaciniza cevap vermedi de mi boyle karisik bir yapi tercih ettiniz
merak ettim:).
Kisaca:
ftp-proxy default cikis ip adresinden o interface ait ip adresi ile
cikmaya calisir. Sizin isteginiz ise farkli cikis ipleri kullanmak.
Bunun icin ftp-proxy -a cikis1 -b 127.0.0.1 -p 8021
ftp-proxy -a cikis2 -b 127.0.0.1 -p 8022
ftp-proxy -a cikis3 -b 127.0.0.1 -p 8023
ftp-proxy -a cikis4 -b 127.0.0.1 -p 8024
ftp-proxy -a cikis5 -b 127.0.0.1 -p 8025
ftp-proxy -a cikis6 -b 127.0.0.1 -p 8026
sonrada rdr kurallarinda ilgili vlanden gelen tcp 21 paketlerini
sirasi ile 8021, 8022 portlarina yonlendirmek. Eger bu 6 farkli ip
adresi bir interface uzerinden cikis yapiyorsa baska bir isleme gerek
kalmadan calismasi lazim.
Huzeyfe ONAL
huze...@lifeoverip.net
http://www.lifeoverip.net
Ag guvenligi listesine uye oldunuz mu?
http://netsec.lifeoverip.net
---
2009/1/15 Ismail OZATAY ism...@ismailozatay.net:
Huzeyfe hocam ;
Ekteki resimde topolojiyi çizdim ve orada belirttiğim açıklamaları aşağıda
detaylandırıyorum ;
Açıklama - 1 : A, B, C, D, E ve F birbirinden bağımsız networklerdir.
Herbiri ayrı birer vlan olarak ayarlandı ve switch de belirlenen bir trunk
portundan firewall a aktarılıyor.
Açıklama - 2 : Trunk portundan gelen A, B, C, D, E ve F networklerini
External Node 'a doğru farklı iplerle Nat yapar.
Açıklama - 3 : DMZ için real bir subnet kullanılmıştır ( X . X . X . X /27
). External Node dış bacakta farklı bir subnet kullanmaktadır ( Y . Y . Y .
Y /28 ).
Açıklama - 4 : External node DMZ networkünü dışarıya NAT yapmaz, real
subneti yönlendirir.
Açıklama - 5 Açıklama - 6 : External Node firewall , Internal Node 'dan
gelen ipleri tekrar dış bacaktaki Y . Y . Y . Y /28 subnetinden iplerle
farklı farklı Nat yapar ( ileriye dönük bazı işlemlerin takibi için farklı
iplerle natlanıyorlar). Altq ile bant genişliği kuralları burada yazılır.
Açıklama - 7 : Amaç iç subnetlerin tespitini önlemek. Ben bu subnetleri
External Node a doğru ayrı ayrı farklı iplerle bu sebepten natlıyorum. Çünkü
ben Internal networkün dışını servis sağlayıcı gibi düşünüyorum :)
Hocam yapı böyle olunca ftp-proxy kullanımı bana sıkıntı oldu. DMZ tarafında
sıkıntı yok ama iç netwoktekiler için ciddi sıkıntı doğurmaya başladı. Bu
topolojide kusursuz ve güvenli bir ftp kullanımı için ne önerirsiniz ?
İyi çalışmalar.
ismail
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey