Vtatta Firewall

Nikola Paunović, Miodrag Tokić | Seminarski rad
Firewall na Vyatta OFR sistemu
Visoka škola elektrotehnike i računarstva strukovnih studija

Protokoli u računarskim mrežama
dr Verica Vasiljević
Beograd, 2009
Firewall na Vyatta OFR sistemu 1

Sadržaj:
Logo, zaštitni znak, licenca............................................................................................................................................3
Uvod.................................................................................................................................................................................4
Firewall............................................................................................................................................................................5
Šta je zapravo firewall?...................................................................................................................................6
Kontrola i upravljanje................................................................................................................................6
Firewalls authenticate access.....................................................................................................................7
Firewall kao posrednik...............................................................................................................................7
Firewall štiti resurse...................................................................................................................................7
Snimanje saobraćaja i prijavljivanje događaja...........................................................................................8
Podela firewall-ova.........................................................................................................................................8
Mrežni firewall...........................................................................................................................................8
Namenski firewall......................................................................................................................................8
Integrisani firewall.....................................................................................................................................9
Principi na kojima se zasniva rad firewall-a...................................................................................................9
Personalni firewall.....................................................................................................................................9
Firewall koji filtrira pakete........................................................................................................................9
NAT firewall.............................................................................................................................................10
Circulet level firewall...............................................................................................................................11
Proxy firewall...........................................................................................................................................12
Stateful Protocols.....................................................................................................................................12
Transparentni firewall..............................................................................................................................12
Firewall-ovi bazirani na Linuxu...............................................................................................................13
Firewall na Vyatta OFR sistemu..................................................................................................................................14
Opis praktičnog problema............................................................................................................................................16
Mreža "Lokalna"...........................................................................................................................................17
Mreža "JIN"..................................................................................................................................................17
Mreža "JIM"..................................................................................................................................................18
Izlaz prema internetu....................................................................................................................................18
Praktična realizacija.....................................................................................................................................................20
Osnovna konfiguracija Vyatta OFR sistema.................................................................................................21
Podešavanje mrežnih priključaka.................................................................................................................21
Firewall pravila.............................................................................................................................................23
Skup pravila za pristup JIN mreži............................................................................................................23
Skup pravila za pristup JIM mreži...........................................................................................................29
Skup pravila za pristup sa interneta.........................................................................................................35
Primena skupa pravila na mrežne priključke................................................................................................37
Pregled firewall statistike..............................................................................................................................39
Zaključak.......................................................................................................................................................................40
Literatura......................................................................................................................................................................41

Zaštitni znak, odricanje odgovornosti, licenca
Vyatta i Vyatta logo je zaštitni znak Vyatta, Inc.
Aurori ovog rada ne preuzimaju nikakvu odgovornost nastalu korišćenjem istog.
This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at
http://creativecommons.org/licenses/by-nc-sa/3.0/.

Uvod
U ovom dokumentu biće objašnjeno kako se podešava i koristi firewall na Vyatta OFR sistemu. Data je teorija o
firewallu, čemu služi, podela i principi rada. Ostatak dokumenta detaljno objašnjava jedan praktičan problem, daje rešenje,
praktičnu realizaciju i podešavanje firewall-a na Vyatta OFR sistemu.
Pretpostavlja se da čitalac ima predznanje o usmeravanju mrežnog saobraćaja (routing), podmrežavanju, protokolima u
računarskim mrežama i da generalno ima iskustva u podešavanju uređaja za usmeravanje saobraćaja (router).

Firewall
Da bi čitaoc imao što jasniju sliku u ovom delu je ukratko definisan pojam firewall-a.
Opisane teme su:
• Šta je firewall zapravo?
• Podela firewall-a
• Principi na kojima se zasniva rad firewall-a

Firewall
Šta je zapravo firewall?

Kada većina ljudi pomisli na firewall, misli na parče softvera ili hardvera koje kontroliše saobraćaj između dve mreže.
Međutim firewall može biti implementiran na samom krajnjem sistemu, kao što je ICF (Internet Connection Firewall) na
Windows mašinama. Obe implementacije firewall-a imaju isti cilj, da primoraju korisnike da koriste polisu kontrole pristupa.
Firewall nam omogućava da definišemo pravila pristupa i samo onaj ko ispunjava zahteve može pristupiti mreži ili stanici iza
firewall-a. Svaki firewall vredan pomena bi trebao da ima sledeće osobine:
• Kontrolu i upravljanje mrežnim saobraćajem

• Autentifikacija pristupa
• Da se ponaša kao posrednik
• Da štiti resurse
• Snima i beleži sigurnosne događaje
Kontrola i upravljanje
Kontrola i upravljanje mrežnim saobraćajem je prva i osnovna funkcionalnost koju jedan FM mora imati. Obično to
firewall radi tako što ispituje pakete, proverava i prati veze koje se prave i na osnovu rezultata ispitivanja paketa filtrira vezu.
Ispitivanje paketa je proces presretanja i obrade podataka iz paketa sa ciljem da se utvrdi da li taj paket zadovoljava uslove iz
polise pristupa. Pri ispitivanju paketa firewall posmatra sledeće:
• Izvorišnu IP adresu (Source IP address)
• Izvorišni port (Source port)
• Odredišnu IP adresu ( Destination IP Address)
• Odredišni port ( Destination port)
• IP protokol ( IP protocol)
• Informacije zaglavlja paketa (Packet header information)
Važna stvar kod ispitivanja paketa je da bi doneo odluku fw mora da proveri svaki pojedini paket u oba smera na
svakom mrežnom priključku i kontrolna pravila (controll rules) moraju postojati za svaki paket. Ovo može da stvori problem
kada dođe na red da se definiše ACR (Access Controll Rule) koje bi adresiralo povratni saobraćaj odobrenog zahteva.
Konekcije i stanje veze
Dve TCP/IP stanice da bi komunicirale moraju da uspostave vezu. Ova uspostava veze služi da bi se stanice identifikovale
međusobno i firewall može da koristi informacije o vezi da bi odredio da li komunikacija između stanica dozvoljena ACP
(Access control policy). Firewall mogu pratiti informacije o stanju veze pri odlučivanju da li da propuste ili odbiju saobraćaj.
Npr. kada firewall vidi da stanica A šalje zahtev za uspostavu veze sa stanicom B, firewall zna da bi sledeći deo komunikacije
trebao da bude ACK(potvrda za uspostavu veze) od stanice B. Ovo se obično radi tako što postoje tabele stanja(state table).
Ako podaci koji se obrađuju ne odgovaraju stanju veze iz tabele oni se odbacuju.

Firewall
Statefull packet inspection
se naziva kada se u firewall implementira i praćene stanja veze i provera paketa. Na ovakav način ne samo da se kontrolišu
paketi na osnovu stukture i podataka samih paketa već i na osnovu statusa veze između stanica. Ovako se pruža značajno
fleksibilnija filtracija saobraćaja, rešenje koje je lakše za održavanje, što je sa aspekta administratora jako bitno. Prednost
ovakvog rešenja u odnosu na običnu proveru paketa je da kada je veza identifikovana i dozvoljena (jer je proverena od strane
firewall) generalno nije potrebno definisati pravilo da se dozvoli povratni saobraćaj jer firewall zna po statusu šta da očekuje
u odgovoru. Većina firewall danas funkcioniše na ovaj način.
Firewalls authenticate access

Veoma često se dogadaj da se autentifikacijom smatra ispitivanje izvorišne IP adrese i porta. Naravno da se može
ograničiti da se na osnovu IP adrese vrši filtriranje saobraćaja, ali je danas veoma jednostavno lažirati IP adresu. Da bi se ovo
sprečilo firewall obezbeđuje načine autetifikacije pristupa. TCP/Ip protokol je napravlen na osnovama da ako dve stanice
znaju IP adrese mogu komunicirati. Danas je situacija malo drugačija i ne želimo da svako ko zna našu IP adresu moze da
komunicira sa našom mrežom. Postoji više načina autentifikacije. Username i password(često nazivano xauth-extended
autentification). Koristeći xauth od korisnika koji pokuša da uspostavi vezu traži se korisničko ime i lozinka pre nego što
firewall dopusti da se veza uspostavi. Drugi način za autentifikaciju je korišćenje sertifikata i javnih ključeva. Prednost
sertifikata je to da kada se jednom podesi krajnji korisnik nema potrebe da unosi user i pass. Ovo je zgodno kod velikih
sistema sa dosta korisnika. Takođe za autentifikaciju može da se iskoristi metod javnih ključeva PSK(pre-shared keys). PSK
su manje kompleksni od sertifikata a takođe omogućavaju da se autentifikacija obavi bez učešća korisnika. Mana ovakovog
rešenja je da se ključevi retko menjaju a sistemu se pristupa i daljinski(remote access), pa je samim tim sigurnost može biti
narušena.Implementacijom autentifikacije firewall ima još jedan način za proveru da li da dozvoli saobraćaj.
Firewall kao posrednik

Firewall se može podesiti da se ponaša kao posrednik između dve stanice (Firewall act as an intermediary). Ovakav
način rada se obično naziva kao proxy. Proxy funkcioniše tako što maskira sistem koji štiti. Kada sistem koji želi da
uspostavi vezu sa stanicom iza proxy-ja on tu komunikaciju obavlja sa proxy-jem a sam proxy sa stanicom iz sistema. Stanica
koja inicira komunikaciju nema način da proveri da se komunikacija obavlja preko proxy-ja, a proxy preuzima pakete
adresirane na stanicu koja se nalazi iza njega izvlači korisne podatke i te podatke pakuje u nove pakete koje prosleđuju
stanici. Kada stanica iz štićenog sistema odgovara proxy opet prepakuje pakete ali sada u obrnutom smeru i adresira na
sploljnu stanicu. Na ovaj način se sistem štiti tako što se osigurava da spoljna stanica ne može uspostaviti direktnu
komunikaciju sa stanicom iz sistema iza proxy-ja. Obično se na ovu funkciju dodaje funkcija aplikativnog proxy-ja koji može
da razlikuje podatke koji su korisni od malicioznih podataka.
Firewall štiti resurse

Firewall štiti resurse od zlonamernih napada. Ovo rade sto kombinuju gore navedene metode, samostalno ili u
kombinaciji. Ali mora se imati na umu da zaštita samo pomoću firewall nije sto postotni garant sigurnosti. Npr. web server
koji nije update-ovan a napadač to sazna i iskoristi taj sigurnosni propust i premosti proxy. Ovaj scenario vrlo verovatan ako
se ne koristi aplikativni firewall. Dakle swi resursi koji se nalaze iza firewall moraju uvek biti ažurirani(up to date).

Firewall
Snimanje saobraćaja i prijavljivanje događaja

Šta god da postavimo kao firewall nemožemo zaustaviti svaki napad ili sve maliciozne podatke. Desiće se da nismo
sve podesili kako valja ili da jednostavno je neki cracker seo i naposao neki nov maliciozni kod koji je baš na našem sistemu
prvi put upotrebio i da naš do tančina podešen firewall jednostavno ne reaguje na pravi način. Zbog ovoga je dobro da
firewall ima mogućnost snimanja komunikacije koja je ostvarena kroz naš firewall. Ovi snimljeni podaci mogu biti od koristi
administratoru u pokušaju da shvati šta se desilo. Snimanje se obavlja na dva načina, kao sistemski log(syslog) i kao
obavezno snimanje logovanja(proprietary logging). Swnimljeno bilo kojim načinom ovi logovi se kasnije mogu upotrebiti da
se ispita sta se desilo. Nekada se desi nešto što nije dovoljno samo upisati u log već da se na neki način administrator odmah
obavesti radi intervencije. Postoji više načina alarmiranja:
Obaveštavanje konzolom
Ovo je prost način obaveštavanja ali je nezgodan jer neko stalno mora biti pored monitora sa druge strane.
SNMP obaveštenja
SNMP se može podesiti da aktivira zamke (trap) koje se šalju ka NMS (Network managment system) koji nadgleda firewall.
E-mail obaveštavanje
Firewall šalje mail ka administratoru sa logovima.
Podela firewall-ova
Firewall se grubo mogu podeliti na personalne i mrežne (network). Osnovna razlika ove podele je koliko stanica štite.
Danas uz personalni firewall dolazi i antivirusni softver sa detekcijom upada.
Mrežni firewall
Mrežni firewall-ovi su projektovani da štite čitave mreže od napada. Dolaze kao posebna alatka(dedicated appliance)
ili kao software koji se instalira kao aplikacija na operativnom sistemu stanice. Neke od dedicated appliance varijanti su
Cisco PIX, The Cisco ASA, Symantec’s Enterprise Firewall. Predstavnici rasprostranjenijih softvervskih varijanti su
Microsoft ISA, Check Points Firewall za win platforme a kod Linux platformi je najzastupljeniji IPTables i BSD packet filter.
Kod Sun Solaris os je IPF (IP filter).
Današnji mrežni firewall su poslednjih godina nadograđeni mnogim naprednim odlikama kao npr: neposredno trenutno
otkrivanje upada (in-line intrusion detection) i odbrana od istih. Takođe je dodato duboko skeniranje pakea, ne samo na
nivoima 3 i 4 već i kontrola samih podataka radi odlučivanja o kontroli saobraćaja.
Namenski firewall
Namenski firewall (Appliance firewall) su firewall koji su ranije nudili bolje performanse jer su se zasnivali na
optimizovanom hardveru, specijalizovanim procesorima, kolima koja su prilagođena aplikacijama koje su firewall izvršavali
(ASIC application-specific integrated circulits). Danas softwerska rešenja gotovo da ne zaostaju za namenskim firewall.
Međutim ogroman plus je tehnička podrška za ovakva rešenja.

Firewall
Integrisani firewall
Integrisani firewall-ovi su “all-in-one” rešenja koja u sebi sadrće i spam filtraciju i remote access VPN, LAN-to-LAN
VPN, detekciju upada, antivirus filtraciju . . . Menjaju više različitih uređaja. Dobra strana ovakvih rešenja je manji broj
uređaja na mreži, lakša administracija.
Principi na kojima se zasniva rad firewall-a

Naveli smo osnovne tipove firewall a sada ćemo malo pojasniti na koji način oni funkcionišu. Dakle podelu po načinu
funkcionisanja generalno možemo izvršiti na sedeće tipove:
• Personalni firewall
• Firewall koji filtriraju pakete
• NAT firewall
• Circuit-Level firewall
• Proxy firewall
• Stateful firewall
• Transparentni firewall
• Virtualni firewall
Ovde ćemo opisati koncept rada firewall a kako je implementiran kao softverski ili posvećeni nije bitno.
Personalni firewall
Personalni firewall su dizajnirani da štite jedan sistem. Napravjeni su tako da dozvoljavaju sav saobraćaj ka sistemu ali
da filtriraju odlazni saobraćaj. Po automatizmu imaju nekoliko preddefinisanih profila koje korisnici biraju na osnovu svojih
potreba. Centralizovano upravljanje je najveća mana ovakvih rešenja i retko se koristi u većim sistemima kao jedina zaštita.
Zamislite administratora koji bi morao mašinu po mašinu da setuje firewall.
Firewall koji filtrira pakete

Firewall koji proverava pakete je firewall koji je podešen da proverava saobraćaj na osnovu karakteristika samih
paketa. Obično ne dolaze sa mogućnošću da pamte stanje veze, tako da za podešavanje saobraćaja u oba smera potrebno je
konfigurisati i dolazni saobraćaj. Kako nisu u potpunosti dinamična ovakva rešenja se ne mogu u potpunosti nazivati firewall-
ovima.
access-list 101 permit icmp any 192.168.185.0 0.0.0.255 echo-reply

access-list 101 permit icmp any 192.168.185.0 0.0.0.255 ttl-exceeded
access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established
access-list 101 permit udp any host 192.168.185.100 eq 53
access-list 101 permit udp any eq 123 192.168.185.0 0.0.0.255

Firewall
U ovoj list se vidi da je za DNS(53/UDP) i NTP(123/NTP) eksplicitno dozvoljeno primannnnje paketa koji imaju
odgovarajuće stanje. Propuštaju se još i ICMP, echo-reply i TTL-exceeded odgovori jer su oni odgovor na zahteve koji
potiču iz samog LAN-a.
Pravilo:
access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established
kaže da je dozvoljen sav saobraćaj spolja ka mreži 192.168.185.0/24 sve dok su u paketima TPC ACK flagovi setovani.
Na sledećoj slici se vid da se filtracija paketa vrši na (Network Layer) IP sloju.
NAT firewall
Ovo je najupečatljiviji firewall. Iako je relativno nov svoje mesto je našao u skoro svakoj realizaciji firewall. U početku
je nazivan Networ Address Translation a sada se nalazi u svim firewall kao funkcija, od onih najmanjih SOHO firewall do
najvećih High-end Cisco enterprise rešenja. NAT firewall automatski štiti mrežu jer dozvolajva samo saobraćaj koji je iz
mreže. Osnovno odličje NAT je to što sav saobraćaj ka Internetu NAT multipleksira i šalje napolje tako da spolja gledano
postoji samo jedna ili nekoliko IP adresa. NAT pravi tabele u kojima se nalaze informacije o vezama koje je firewall
registrovao. U ovu tabelu se mapiraju adrese iz privatne podmreže u jednu javnu IP adresu. Ovo se radi tako što se IP adrese
mapiraju različitim brojevima portova.

Firewall
Stanice koji su sa unutrašnje strane NAT firewall (192.168.1.1 i

192.168.1.2) pokušavaju da uspostave vezu sa WEB serverom
10.100.100.44. Stanica 192.168.1.1 otvara TCP port 3844 i konektuje
se sa WEB serverom preko porta 80. Stanica 192.168.1.2 otvara port
4687 i konektuje se na isti WEB server. NAT je tako podešen da mapira
čitavu mrežu 192.168.1.0/24 u jednom IP adresom 172.28.230.55. kada
firewall ustanovi da je odlazni saobraćaj u pitanju onda na nivou IP
sloja menja IP adrese iz mreže u spoljašnju javnu IP adresu
(192.168.1.1 i 192.168.1.2 u 172.28.230.55). Firewall radi kada je
određeni port zauzet prethodnom vezom na tom portu, tada NAT ne
samo da menja IP adrsu već i port na slučajni port koji nije zauzet.
Circulet level firewall

Rade na sloju sesije OSI Modela i prate hand shakeing između paketa
da bi ustanovili da li je saobraćaj legitiman. Saobraćaj kroz kompjuter na
kome je firewall modifikovan na sledeći način: izgleda kao da potiče sa iste
stanice, što znači da je pogodan za skrivanje informacija o mreži, ali mana je
ta što ne pregleda svaki paket.

Firewall
Proxy firewall
Proxy se ponaša kao posrednik između dva krajnja sistema na sličan
način kao i prethodni firewall. Razlika je u tome što je kontrolisan na
aplikativnom sloju OSI. Primoravaju obe strane saobraćaja da ide preko
Proxy ja. Ovo radi tako što kreira procese koji nadgledaju servise kao da se
nalaze na krajnjim sistemima. Da bi podržao različiteprotokole mora
opstojati servis za svaki protokol.
Stateful Protocols
Moderni firewall-ovi stanja kombinuju aspekte NAT, Circuli, Proxy.ja u jedan sistem. Oni saobraćaj proveravaju na
osnovu karakteristika paketa, ali uključen je i deo praćenja sesija. Napravljeni su da budu transparentniji od prethodnih
rešenja. Uključuju proveru podataka na nivou aplikacije kao i proveru kroy specifične servise. Oni su danas najćešći oblik
firewall-a.
Transparentni firewall
Transparentni firewall-ovi su poznati i kao bridging firewall-ovi, nisu u potpunosti nove već više liče na podkategoriju
gore navedenih. Kada postoji firewall koji radi na IP lejeru ili iznad. Transparentni firewall čuči na sloju dva i prati lejer tri i
sav saobraćaj. Mogu koristiti pregled paketa a pri tom da ostanu nevidljivi za aplikaciju.
Ne zahtevaju promenu IP adrese pri postavljanju jer funkcionišu iz drugog lejera. Mogu se razdvajati zone različitih
sigurnosnih podešavanja i mogu biti potpuno transparentne. Kako funkcionišu na drugom sloju imaju manji gubitak –
overhead i daju bolje performanse i vrše dublje pregledanje paketa.
Dakle odlikuje ih:

• zero configuration
• performanse
• stealth
Ne može biti napadnut jer ga napadač ne vidi( nema IP adresu sem one koja sluuži za konfigurisanje).

Firewall
Firewall-ovi bazirani na Linuxu

Uglavnom rade na principu IPFirewall, koji je preuzet sa BSD.a kada je ugrađen u linux kernel. Sledeći korak je
implementacija IPfirewall admin alata.
• Ove stavke omogućavaju sledeće:
• Menjati sigurnosna podešavanja u firewall-u
• Dodavanje pravila automatski kada imenovane stanice imaju više od jedne IP adrese
• Pregled pravila u različitim formatima
• Listanje i resetovanje brojače paketa, bitova da bi se dobijale informacije koje se koriste za
podešavanje sigurnosnih pravila
IPFirewall je oprenljen sledećim:

• Postavljanje adrese mrežnog priključka i imena pravila
• Dvostrana pravila TCP ACK i TCP SYN poklapanja
• Redirekcija paketa (za proxy koji je transparentan)
• Maskiranje (masqerading)
Od verzije 2.2 kernela pojavio se IPChains. Kod njega je bitno da se mora dozvoliti i pakete sa ACK bitom podešenim da bi
odgovori od servera spolja bili propušteni.
Verzija 2.4 donosi još bolju implementaciju firewall-a koja se naziva NetFilter. NetFilter donosi novine kao sto su
poboljšano logovanje i implementirao je praćenje stanja veze. Linux firewall nije skup, moze se podići na običnom računaru,
podrška open-source zajednice čine da je ovaj firewall jedna od najboljih alternativa skupih posvećenih firewall-ova. Danas
postoje i kompanije koje koriste Linux kao osnovu za svoje Firewalove i nude to kao komercijalni proizvod, s’ tim što
naplaćuju podršku. Jedna od tih kompanija je Vyatta koja nudi softver za rutiranje kao osnov, koji u sebi sadrži i firewall.

Sledi kratak opis kako je implementiran i kako se ponaša firewall na Vyatta OFR sistemu.

Firewall na Vyatta OFR sistemu je baziran na paketu NetFilters (Iptables).

Vyatta kao firewall analizira i filtrira IP pakete između mrežnih priključaka. Najčešće se koristi za zaštitu saobraćaja
između privatne mreže i interneta. Dozvoljava da paketi budu filtrirani na osnovu svojih karakteristika.
Sa Vyatta OFR sistemom može da se postigne:
• Filtriranje paketa koje može biti izvedeno na saobraćaju koji prolazi kroz ruter koristeći se ulazni (in)
i izlazni (out) tok (pravac saobraćaja) na mrežnom adapteru rutera. Paketi adresirani na ruter mogu biti
proveravani koristeći lokalni (local) tok.
• Da se postave kriterijumi koji se primenjuju na pakete koji zadovoljavaju pravila koja uključuju
izvorišnu IP adresu, odredišnu IP adresu, izvorišni port, odredišni port, IP protokol i ICMP tip.
• Detekcija IP opcija polja, npr izvorišni routing protocol, i broadcast paketi.
U Vyatta OFR sistemu je primenjen koncept provere stanja veze. Pruža značajnu podršku sveukupne sigurnosti u
slojevitom pristupu zaštite mreže.
Da bi se koristio firewall, definišemo skup pravila koji imenujemo (možemo da ga zamislimo kao kontejner koji u sebi
sadrži pravila) i potom samo primenimo imenovani skup na jedan od "in", "out" ili "local" tokova na mrežnom priključku.
Nekoliko važnih napomena:

• Jedan tok, na jednom mrežnom priključku može sadržati samo jedan imenovani skup pravila.
• Maksimalan broj pravila u okviru jednog imenovanog skupa je 1024.
• Nakon poslednjeg pravila u skupu imenovanog pravila, svi paketi se odbacuju (deny all), ukoliko pre
toga ne dođe do poklapanja sa nekim od pravila u tom skupu.
• Ukoliko se na mrežni priključak primeni imenovani skup koji ne postoji, svi paketi se propuštaju
(allow all)

Opis praktičnog problema
Za imišljeno preduzeće potrebno je obebediti osnovnu zaštitu mreže pomoću firewall-a na Vyatta OFR sistemu. Pored
firewall-a, Vyatta OFR sistem ima i ulogu rutiranja saobraćaja, DHCP prosleđivanje saobraćaja itd. U ovom radu će biti
obrađena samo realizacija firewall-a, dok se ostali servisi ne obrađuju.
Topologija mreže u predueću je podeljena na četiri podmreže:
1. Lokalna
2. JIN
3. JIM
4. Izlaz prema internetu

Mreža "Lokalna"
Mreža “Lokalna” je namenjena radnim stanicama zaposlenih u preduzeću. Za podmrežu “Lokalna” je uzet privatni
adresni opseg 172.16.0.0/24.
Sledi raspored po adresama:
172.16.0.0 - Adresa mreže
172.16.0.1 - Adresa mrežnog priključka (eth0) na Vyatta OFR sistemu, kao i
adresa podrazemevanog mrežnog prolaza
172.16.0.2 – 172.16.0.50 - Rezervisano za specijalne potrebe
172.16.0.10 - Administrator 1
172.16.0.11 - Administrator 2
172.16.0.51 – 172.16.0.254 - DHCP za radne stanice
172.16.0.255 - Broadcast adresa mreže
Mreža "JIN"
U mreži “JIN” se nalaze serveri koji su namenjeni za lokalnu upotrebu u preduzeću i nisu namenjeni da pružaju usluge
“spolja”, odnosno sa interneta. Za ovu podmrežu rezervisan je privatni adresni opseg 192.168.0.0/28.
Sledi raspored po adresama:
192.168.0.2 - Adresa DHCP servera
192.168.0.3 - Adresa aplikacionog servera sa MySql bazom
Sledi opis servera i servisa koji pruža:

DHCP server dinamički dodeljuje potrebne adrese za mrežne priključke na radnim stanicama. Potrebno je dozvoliti
pristup DHCP servisu samo korisnicima iz mreže “Lokalna”. Takođe, za obavljanje administrativnih poslova i održavanje
servera potrebno je administratorima omogućiti pristup servisima SSH za daljinsku kontrolu, ICMP i SNMP za nadgledanje
servera.
Aplikacioni server ima na sebi instaliranu centralizovanu aplikaciju za potrebe preduzeća kojoj samo zaposleni imaju
prava pristupa. Aplikacija radi preko TCP protokola na portu 8080. Na aplikacionom serveru se nalazi još i MySql servis za
potrebe aplikacije. MySql servisu može prići samo aplikacija i WEB server iz JIM mreže radi prikaza određenih podataka,
koje naše predueće želi da objavljuje na svojoj internet prezentaciji. U cilju finijih definicija pristupnih prava, u okviru samog
MySql servisa mogu se kreirati korisnici koji imaju različite nivoe privilegija, različitim tabelama, zapisima itd, ali to nije
tema ovog rada. Pored pristupa aplikaciji od strane zaposlenih u preduzeću i pristupu MySql servisu od strane WEB servera,
potrebno je administratorima iz mreže “Lokalna” obezbediti pristup SSH, ICMP, SNMP i MySql servisu.

Mreža "JIM"
U mreži “JIM” nalaze se serveri koji imaju neke od servisa dostupne i sa interneta. To je tzv. demilitarizovana (DMZ)
zona. Opseg adresa namenjen ovoj mreži je 192.168.0.16/28.
Raspored adresa:
192.168.0.18 - Web server
192.168.0.19 - Mail server
Sledi opis servera i servisa koji pruža:

Web server se koristi za držanje internet prezentacije preduzeća i omogućen je pristup preko HTTP protokola sa bilo
koje IP adrese. Kao što je rečeno, web server pristupa MySql bazi na aplikacionom serveru radi prikaza određenih
informacija iz baze. Za potrebe ažuriranja internet prezentacije, na serveru postoji FTP servis kome je dozvoljen pristup sa
172.16.0.0/24 mreže.
Drugi server u mreži je mail server. Na njemu su instalirani uobičajeni servisi za razmenu pošte, SMTP, POP3 i IMAP.
SMTP servisu se može pristupiti sa bilo koje IP adrese u cilju isporučivanja pošte, dok se za preuzimanje pošte može koristiti
POP3 i IMAP samo iz mreže “Lokalna”. Za pregled pošte na serveru van mreže “Lokalna” koristi se webmail koji je
instaliran na serveru i radi preko HTTP protokola.
Za oba servera administratorima je obezbeđen pristup SSH, ICMP i SNMP servisima.
Izlaz prema internetu

S obzirom da se u preduzeću koriste privatne adrese, potrebno je obezbediti prevođenje privatnih adresa u javne, tzv
NAT (Network Address Translation). Za te potrebe zakupljene su tri javne, statičke adrese od davaoca internet usluga iz
mrežnog opsega 200.200.200.0/29. Sve IP adrese su na mrežnom priključku eth3 na Vyatta OFR sistemu.
200.200.200.1 - NAT za zaposlene u preduzeću - 172.16.0.0/24
200.200.200.2 - NAT za web server - 192.168.0.18
200.200.200.3 - NAT za mail server - 192.168.0.19


Praktična realizacija
Konačno dolazimo i do samog podešavanja Vyatta OFR sistema. Napisaćemo potreban skup pravila za mreže i na kraju
ih primeniti na mrežne priključke. Svaki skup pravila i sama pravila će biti ukratko objašnjena. Na kraju opisujemo kako se
vrši pregled filtriranih paketa.

Osnovna konfiguracija Vyatta OFR sistema

Po pokretanju Vyatta OFR sistema, prijaviti se na sistem kao korisnik vyatta sa lozinkom vyatta.
Sada je potrebno podesiti osnovna podešavanja, vezano za sam Vyatta OFR sistem, kao što je ime sistema.
vyatta@vyatta:~$ configure
[edit]
vyatta@vyatta# set system host-name router1
[edit]
vyatta@vyatta# commit
Podešavanje mrežnih priključaka

Prema već poznatoj topologiji mreže potrebno je pravilno podesiti IP adrese na mrežnim priključcima Vyatta OFR
sistema.
Podešavanje prvog mrežnog priključka, eth0. Zadajemo adresu i opis.
[edit]
vyatta@router1# set interfaces ethernet eth0 address 172.16.0.1/24
[edit]
vyatta@router1# set interfaces ethernet eth0 description “Lokalna mreza”
Podešavanje mrežnih priključaka eth1 i eth2.
[edit]
[edit]
vyatta@router1# set interfaces ethernet eth1 description “JIN mreza”
[edit]
[edit]
vyatta@router1# set interfaces ethernet eth2 description “JIM mreza”
Na mrežnom priključku eth3 je potrebno da podesimo tri IP adrese, koje se fizički nalaze na istom mrežnom
priključku.
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set interfaces ethernet eth3 description “Internet”

Potvrđujemo unose naredbom commit.
[edit]
vyatta@vyatta# commit
Sada možemo pogledati kako izgleda naša konfiguracija mrežnih priključaka i uveriti se da je sve u redu.
[edit]
vyatta@router1# show interfaces ethernet
eth0 {
address 172.16.0.1/24
description “Lokalna mreza”
hw-id 08:00:27:f7:c3:f1
}
eth1 {
address 192.168.0.1/28
description “JIN mreza”
hw-id 08:00:27:16:90:a3
}
eth2 {
address 192.168.0.17/28
description “JIM mreza”
hw-id 08:00:27:a9:01:46
}
eth3 {
address 200.200.200.1/29
address 200.200.200.2/29
address 200.200.200.3/29
description Internet
hw-id 08:00:27:4e:70:1c
}
[edit]

Firewall pravila
Potrebno je definisati skup pravila za pristup svakoj od mreža.
Skup pravila za pristup JIN mreži
Kratak pregled protokola i IP adresa sa kojih im se dozvoljava pristup.

• ICMP - 172.16.0.10, 172.16.0.11
• SSH - 172.16.0.10, 172.16.0.11
• SNMP - 172.16.0.10, 172.16.0.11
• MySql - 172.16.0.10, 172.16.0.11, 192.168.0.18
• Aplikacija - 172.16.0.0/24
• DHCP - 172.16.0.0/24
Prvo kreiramo konfiguracioni čvor odnosno imenovani skup pravila.
[edit]
vyatta@router1# set firewall name JIN_ACCESS description "Pristup JIN mrezi"
Sada možemo dodavati pravila u imenovani skup JIN_ACCESS, odnosno konfiguracioni čvor firewall name
JIN_ACCESS.
Prvo pravilo propušta ICMP pakete na osnovu izvorišne adrese.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 description "ICMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 protocol icmp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# commit

Možemo prikazati prvo pravilo da bi se uverili da je sve u redu.
[edit]
vyatta@router1# show firewall name JIN_ACCESS rule 1
action accept
description "ICMP pristup"
protocol icmp
source {
address 172.16.0.10-172.16.0.11
}
Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese. Obratimo
pažnju da ovde filtriramo pakete u odnosu na odredišni port, pratimo stanje veze i zapisujemo akcije u dnevnik (log).
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 description "SSH pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 destination port ssh
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 log enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 protocol tcp
[edit]
172.16.0.11
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state established enable
[edit]

Pregled drugog pravila.
[edit]
action accept
description "SSH pristup"
destination {
port ssh
}
log enable
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}
Treće i četvrto pravilo omogućava administratorima komunikaciju SNMP protokolom.
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 description "SNMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 destination port snmp
[edit]
[edit]
172.16.0.11
[edit]
[edit]
[edit]
[edit]

Pregled trećeg pravila.
[edit]
action accept
description "SNMP pristup"
destination {
port snmp
}
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}
Četvrto pravilo.
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 description "SNMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 destination port snmp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 protocol udp
[edit]
172.16.0.11
[edit]
Pregled četvrtog pravila.
[edit]
action accept
description "SNMP pristup"
destination {
port snmp
}
protocol udp
source {
address 172.16.0.10-172.16.0.11
}

Peto i šesto pravilo dozvoljavaju pristup MySql bazi na aplikacionom serveru administratorima i pristup sa web
servera, respektivno.
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 description "DB pristup
administratori"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 destination port mysql
[edit]
[edit]
172.16.0.11
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 description "DB pristup sa WEB
servera"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 destination port mysql
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 source address 192.168.0.18/28
[edit]
[edit]
[edit]
[edit]
Sedmo pravilo omogućava pristup centralnoj aplikaciji za zaposlene koja radi sa tcp protokolom i osluškuje na portu
8080.

[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 description "APP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 destination address
192.168.0.3/28
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 destination port 8080
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 source address 172.16.0.0/24
[edit]
[edit]
[edit]
[edit]
Poslednje, osmo pravilo u ovom skupu je pravilo koje omogućuje DHCP komunikaciju između klijenata i servera.
Ovde je interesantno što možemo filtrirati paketi i u odnosu na izvorišni port.
[edit]
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 description "DHCP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 destination address
192.168.0.2/28
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 destination port 67
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 source port 68
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 protocol udp
[edit]

Skup pravila za pristup JIM mreži

Kratak pregled protokola i IP adresa sa kojih im se dozvoljava pristup.
• ICMP - 172.16.0.10, 172.16.0.11
• SSH - 172.16.0.10, 172.16.0.11
• SNMP - 172.16.0.10, 172.16.0.11
• FTP - 172.16.0.0/24
• POP3 - 172.16.0.0/24
• IMAP - 172.16.0.0/24
• HTTP - 0.0.0.0/0
• SMTP - 0.0.0.0/0
Kreiramo JIM_ACCESS imenovani skup pravila.
[edit]
vyatta@router1# set firewall name JIM_ACCESS description "Pristup JIM mrezi"
Prvo pravilo dozvoljava administratorima komunikaciju ICMP protokolom.
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 description "ICMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 protocol icmp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 source address 172.16.0.10-
172.16.0.11
[edit]
Pregled prvog pravila.
[edit]
vyatta@router1# show firewall name JIM_ACCESS rule 1
action accept
description "ICMP pristup za administratore"
protocol icmp
source {
address 172.16.0.10-172.16.0.11
}

Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese.
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 description "SSH pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 destination port ssh
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 log enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 protocol tcp
[edit]
172.16.0.11
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state established enable
[edit]
Pregled drugog pravila.
[edit]
vyatta@router1# show firewall name JIM_ACCESS rule 2
action accept
description "SSH pristup za administratore"
destination {
port ssh
}
log enable
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}

Pravilo tri i četiri definišu SNMP pristup za administratore.
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 description "SNMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 destination port snmp
[edit]
[edit]
172.16.0.11
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 description "SNMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 destination port snmp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 protocol udp
[edit]
172.16.0.11
[edit]

[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 description "FTP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 destination port 20
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 source address 172.16.0.0/24
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 description "FTP pristup sa
mreze LOKALNA"
[edit]
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 destination port 21
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]

[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 description "POP3 pristup sa
mreze LOKALNA"
[edit]
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 destination port pop3
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 description "IMAP pristup sa
mreze LOKALNA"
[edit]
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 destination port imap
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]

[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 description "Pristup web
prezentaciji"
[edit]
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 destination port http
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 description "SMTP pristup"
[edit]
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 destination port smtp
[edit]
[edit]
[edit]
[edit]
[edit]

[edit]
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 description "webmail pristup"
[edit]
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 destination port http
[edit]
[edit]
[edit]
[edit]
[edit]
Skup pravila za pristup sa interneta

Ovaj skup pravila će biti primenjen na mrežnom priključku koji je direktno priključen na spoljnu mrežu, odnosno
internet i time je prva meta na udaru za filtriranje paketa.
S obzirom da se IP adrese u saobraćaju koji se inicira sa interneta prvo prevode u privatne adrese (NAT), pa tek onda se
filtriraju kroz firewall pravila, u definisanju pravila moraćemo koristiti privatne adrese servera kao odredišne adrese.
Kreiranje imenovanog skupa pravila PUBLIC_ACCESS.
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS description "Pristup sa interneta
i lokalne mreze javnim servisima"
[edit]

[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 description "Pristup web
prezentaciji"
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination port 80
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 protocol tcp
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state new enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state related enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state established enable
[edit]
[edit]
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 description "SNMP pristup"
[edit]
192.168.0.19/28
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]

[edit]
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 description "webmail
pristup"
[edit]
192.168.0.19/28
[edit]
[edit]
[edit]
[edit]
[edit]
[edit]
Iako smo praktično mogli prvo i treće pravilo definisati kao jedno s tim što u tom slučaju ne bi stavljali odredišnu IP
adresu, odlučili smo se da ta dva pravila razdvojimo radi finije kontrole.
Primena skupa pravila na mrežne priključke

Poslednje što treba da uradimo, je da primenimo definisane skupove pravila na odgovarajuće mrežne priključke i
njihove tokove (in, out i local).
Na mrežni priključak eth1 i tok saobraćaja out primenjujemo skup imenovanih pravila JIN_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth1 firewall out name JIN_ACCESS
[edit]
Na mrežni priključak eth2 i tok saobraćaja out primenjujemo skup imenovanih pravila JIM_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth2 firewall out name JIM_ACCESS
[edit]

Na mrežni priključak eth3 i tok saobraćaja in primenjujemo skup imenovanih pravila PUBLIC_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth3 firewall in name PUBLIC_ACCESS
[edit]
Možemo pogledati našu konfiguraciju mrežnih priključaka.
[edit]
vyatta@router1# show interfaces ethernet
eth0 {
address 172.16.0.1/24
description “Lokalna mreza”
hw-id 08:00:27:f7:c3:f1
}
eth1 {
address 192.168.0.1/28
description “JIN mreza”
firewall {
out {
name JIN_ACCESS
}
}
hw-id 08:00:27:16:90:a3
}
eth2 {
address 192.168.0.17/28
description “JIM mreza”
firewall {
out {
name JIM_ACCESS
}
}
hw-id 08:00:27:a9:01:46
}
eth3 {
address 200.200.200.1/29
address 200.200.200.2/29
address 200.200.200.3/29
description Internet
firewall {
in {
name PUBLIC_ACCESS
}
}
hw-id 08:00:27:4e:70:1c
}
[edit]

Pregled firewall statistike

Detaljniji pregled i statistikau firewall-a je moguće pogledati prelaskom na operatorskogi nivo.
[edit]
vyatta@router1# exit
Pregled imenovanih skupa pravila u tabelarnom prikazu vrši se sledećom komandom. Ovde će biti prikazani svi
skupovi pravila koje smo definisali.
[edit]
vyatta@router1:~$ show firewall
Možemo pogledati samo određeni skup pravila ili samo određeno pravilo u nekom skupu.
[edit]
vyatta@router1:~$ show firewall JIN_ACCESS
Statistiku sa brojem odbijenih i propuštenih paketa možemo pogledati sledećom komandom.
[edit]
vyatta@router1:~$ show firewall JIN_ACCESS statistics

Zaključak
Vyatta kao sistem baziran na Linux operativnom sistemu sa komandnim okruženjem prilagođen administraciji, pruža
veoma robustan, prilagodljiv i fleksibilan sistem.
Impementacija firewall-a na Vyatta OFR sistemu je izvedena na veoma visokom nivou iako postoji još mesta za
poboljšanja.

Literatura
[1] Firewall Fundamentals by Wes Noonan, Ido Dubrawsky

[2] Vyatta OFR Configuration Guide by Vyatta, inc.
[3] Command Reference by Vyatta, inc.
[4] Security Reference Guide by Vyatta, inc.

Vtatta Firewall

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Vtatta Firewall

Uploaded by

Copyright:

Available Formats

Nikola Paunović, Miodrag Tokić | Seminarski rad

Firewall na Vyatta OFR sistemu

Visoka škola elektrotehnike i računarstva strukovnih studija

Firewall na Vyatta OFR sistemu 1

Firewall na Vyatta OFR sistemu 2

Vyatta i Vyatta logo je zaštitni znak Vyatta, Inc.

Aurori ovog rada ne preuzimaju nikakvu odgovornost nastalu korišćenjem istog.

Firewall na Vyatta OFR sistemu 3

Firewall na Vyatta OFR sistemu 4

Firewall na Vyatta OFR sistemu 5

Šta je zapravo firewall?

• Kontrolu i upravljanje mrežnim saobraćajem

Konekcije i stanje veze

Firewall na Vyatta OFR sistemu 6

Statefull packet inspection

Firewalls authenticate access

Firewall kao posrednik

Firewall štiti resurse

Firewall na Vyatta OFR sistemu 7

Snimanje saobraćaja i prijavljivanje događaja

Firewall na Vyatta OFR sistemu 8

Principi na kojima se zasniva rad firewall-a

Firewall koji filtrira pakete

access-list 101 permit icmp any 192.168.185.0 0.0.0.255 echo-reply

Firewall na Vyatta OFR sistemu 9

access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established

Firewall na Vyatta OFR sistemu 10

Stanice koji su sa unutrašnje strane NAT firewall (192.168.1.1 i

Circulet level firewall

Firewall na Vyatta OFR sistemu 11

Dakle odlikuje ih:

Firewall na Vyatta OFR sistemu 12

Firewall-ovi bazirani na Linuxu

IPFirewall je oprenljen sledećim:

Firewall na Vyatta OFR sistemu 13

Firewall na Vyatta OFR sistemu 14

Firewall na Vyatta OFR sistemu je baziran na paketu NetFilters (Iptables).

Nekoliko važnih napomena:

Firewall na Vyatta OFR sistemu 15

Firewall na Vyatta OFR sistemu 16

Sledi opis servera i servisa koji pruža:

Firewall na Vyatta OFR sistemu 17

Sledi opis servera i servisa koji pruža:

Izlaz prema internetu

Firewall na Vyatta OFR sistemu 18

Firewall na Vyatta OFR sistemu 19

Firewall na Vyatta OFR sistemu 20

Osnovna konfiguracija Vyatta OFR sistema

Podešavanje mrežnih priključaka

Podešavanje mrežnih priključaka eth1 i eth2.

Firewall na Vyatta OFR sistemu 21

Potvrđujemo unose naredbom commit.

Firewall na Vyatta OFR sistemu 22

Skup pravila za pristup JIN mreži

Kratak pregled protokola i IP adresa sa kojih im se dozvoljava pristup.

Prvo kreiramo konfiguracioni čvor odnosno imenovani skup pravila.

Prvo pravilo propušta ICMP pakete na osnovu izvorišne adrese.

Firewall na Vyatta OFR sistemu 23

Možemo prikazati prvo pravilo da bi se uverili da je sve u redu.

Firewall na Vyatta OFR sistemu 24

Pregled drugog pravila.

Treće i četvrto pravilo omogućava administratorima komunikaciju SNMP protokolom.

Firewall na Vyatta OFR sistemu 25

Pregled trećeg pravila.