Professional Documents
Culture Documents
This document is licensed under the Attribution-NonCommercial-ShareAlike 3.0 Unported license, available at
http://creativecommons.org/licenses/by-nc-sa/3.0/.
U ovom dokumentu biće objašnjeno kako se podešava i koristi firewall na Vyatta OFR sistemu. Data je teorija o
firewallu, čemu služi, podela i principi rada. Ostatak dokumenta detaljno objašnjava jedan praktičan problem, daje rešenje,
praktičnu realizaciju i podešavanje firewall-a na Vyatta OFR sistemu.
Pretpostavlja se da čitalac ima predznanje o usmeravanju mrežnog saobraćaja (routing), podmrežavanju, protokolima u
računarskim mrežama i da generalno ima iskustva u podešavanju uređaja za usmeravanje saobraćaja (router).
Da bi čitaoc imao što jasniju sliku u ovom delu je ukratko definisan pojam firewall-a.
Opisane teme su:
• Šta je firewall zapravo?
• Podela firewall-a
• Principi na kojima se zasniva rad firewall-a
Kontrola i upravljanje
Kontrola i upravljanje mrežnim saobraćajem je prva i osnovna funkcionalnost koju jedan FM mora imati. Obično to
firewall radi tako što ispituje pakete, proverava i prati veze koje se prave i na osnovu rezultata ispitivanja paketa filtrira vezu.
Ispitivanje paketa je proces presretanja i obrade podataka iz paketa sa ciljem da se utvrdi da li taj paket zadovoljava uslove iz
polise pristupa. Pri ispitivanju paketa firewall posmatra sledeće:
• Izvorišnu IP adresu (Source IP address)
• Izvorišni port (Source port)
• Odredišnu IP adresu ( Destination IP Address)
• Odredišni port ( Destination port)
• IP protokol ( IP protocol)
• Informacije zaglavlja paketa (Packet header information)
Važna stvar kod ispitivanja paketa je da bi doneo odluku fw mora da proveri svaki pojedini paket u oba smera na
svakom mrežnom priključku i kontrolna pravila (controll rules) moraju postojati za svaki paket. Ovo može da stvori problem
kada dođe na red da se definiše ACR (Access Controll Rule) koje bi adresiralo povratni saobraćaj odobrenog zahteva.
Dve TCP/IP stanice da bi komunicirale moraju da uspostave vezu. Ova uspostava veze služi da bi se stanice identifikovale
međusobno i firewall može da koristi informacije o vezi da bi odredio da li komunikacija između stanica dozvoljena ACP
(Access control policy). Firewall mogu pratiti informacije o stanju veze pri odlučivanju da li da propuste ili odbiju saobraćaj.
Npr. kada firewall vidi da stanica A šalje zahtev za uspostavu veze sa stanicom B, firewall zna da bi sledeći deo komunikacije
trebao da bude ACK(potvrda za uspostavu veze) od stanice B. Ovo se obično radi tako što postoje tabele stanja(state table).
Ako podaci koji se obrađuju ne odgovaraju stanju veze iz tabele oni se odbacuju.
se naziva kada se u firewall implementira i praćene stanja veze i provera paketa. Na ovakav način ne samo da se kontrolišu
paketi na osnovu stukture i podataka samih paketa već i na osnovu statusa veze između stanica. Ovako se pruža značajno
fleksibilnija filtracija saobraćaja, rešenje koje je lakše za održavanje, što je sa aspekta administratora jako bitno. Prednost
ovakvog rešenja u odnosu na običnu proveru paketa je da kada je veza identifikovana i dozvoljena (jer je proverena od strane
firewall) generalno nije potrebno definisati pravilo da se dozvoli povratni saobraćaj jer firewall zna po statusu šta da očekuje
u odgovoru. Većina firewall danas funkcioniše na ovaj način.
Obaveštavanje konzolom
Ovo je prost način obaveštavanja ali je nezgodan jer neko stalno mora biti pored monitora sa druge strane.
SNMP obaveštenja
SNMP se može podesiti da aktivira zamke (trap) koje se šalju ka NMS (Network managment system) koji nadgleda firewall.
E-mail obaveštavanje
Firewall šalje mail ka administratoru sa logovima.
Podela firewall-ova
Firewall se grubo mogu podeliti na personalne i mrežne (network). Osnovna razlika ove podele je koliko stanica štite.
Danas uz personalni firewall dolazi i antivirusni softver sa detekcijom upada.
Mrežni firewall
Mrežni firewall-ovi su projektovani da štite čitave mreže od napada. Dolaze kao posebna alatka(dedicated appliance)
ili kao software koji se instalira kao aplikacija na operativnom sistemu stanice. Neke od dedicated appliance varijanti su
Cisco PIX, The Cisco ASA, Symantec’s Enterprise Firewall. Predstavnici rasprostranjenijih softvervskih varijanti su
Microsoft ISA, Check Points Firewall za win platforme a kod Linux platformi je najzastupljeniji IPTables i BSD packet filter.
Kod Sun Solaris os je IPF (IP filter).
Današnji mrežni firewall su poslednjih godina nadograđeni mnogim naprednim odlikama kao npr: neposredno trenutno
otkrivanje upada (in-line intrusion detection) i odbrana od istih. Takođe je dodato duboko skeniranje pakea, ne samo na
nivoima 3 i 4 već i kontrola samih podataka radi odlučivanja o kontroli saobraćaja.
Namenski firewall
Namenski firewall (Appliance firewall) su firewall koji su ranije nudili bolje performanse jer su se zasnivali na
optimizovanom hardveru, specijalizovanim procesorima, kolima koja su prilagođena aplikacijama koje su firewall izvršavali
(ASIC application-specific integrated circulits). Danas softwerska rešenja gotovo da ne zaostaju za namenskim firewall.
Međutim ogroman plus je tehnička podrška za ovakva rešenja.
Integrisani firewall
Integrisani firewall-ovi su “all-in-one” rešenja koja u sebi sadrće i spam filtraciju i remote access VPN, LAN-to-LAN
VPN, detekciju upada, antivirus filtraciju . . . Menjaju više različitih uređaja. Dobra strana ovakvih rešenja je manji broj
uređaja na mreži, lakša administracija.
Ovde ćemo opisati koncept rada firewall a kako je implementiran kao softverski ili posvećeni nije bitno.
Personalni firewall
Personalni firewall su dizajnirani da štite jedan sistem. Napravjeni su tako da dozvoljavaju sav saobraćaj ka sistemu ali
da filtriraju odlazni saobraćaj. Po automatizmu imaju nekoliko preddefinisanih profila koje korisnici biraju na osnovu svojih
potreba. Centralizovano upravljanje je najveća mana ovakvih rešenja i retko se koristi u većim sistemima kao jedina zaštita.
Zamislite administratora koji bi morao mašinu po mašinu da setuje firewall.
U ovoj list se vidi da je za DNS(53/UDP) i NTP(123/NTP) eksplicitno dozvoljeno primannnnje paketa koji imaju
odgovarajuće stanje. Propuštaju se još i ICMP, echo-reply i TTL-exceeded odgovori jer su oni odgovor na zahteve koji
potiču iz samog LAN-a.
Pravilo:
kaže da je dozvoljen sav saobraćaj spolja ka mreži 192.168.185.0/24 sve dok su u paketima TPC ACK flagovi setovani.
Na sledećoj slici se vid da se filtracija paketa vrši na (Network Layer) IP sloju.
NAT firewall
Ovo je najupečatljiviji firewall. Iako je relativno nov svoje mesto je našao u skoro svakoj realizaciji firewall. U početku
je nazivan Networ Address Translation a sada se nalazi u svim firewall kao funkcija, od onih najmanjih SOHO firewall do
najvećih High-end Cisco enterprise rešenja. NAT firewall automatski štiti mrežu jer dozvolajva samo saobraćaj koji je iz
mreže. Osnovno odličje NAT je to što sav saobraćaj ka Internetu NAT multipleksira i šalje napolje tako da spolja gledano
postoji samo jedna ili nekoliko IP adresa. NAT pravi tabele u kojima se nalaze informacije o vezama koje je firewall
registrovao. U ovu tabelu se mapiraju adrese iz privatne podmreže u jednu javnu IP adresu. Ovo se radi tako što se IP adrese
mapiraju različitim brojevima portova.
Proxy firewall
Proxy se ponaša kao posrednik između dva krajnja sistema na sličan
način kao i prethodni firewall. Razlika je u tome što je kontrolisan na
aplikativnom sloju OSI. Primoravaju obe strane saobraćaja da ide preko
Proxy ja. Ovo radi tako što kreira procese koji nadgledaju servise kao da se
nalaze na krajnjim sistemima. Da bi podržao različiteprotokole mora
opstojati servis za svaki protokol.
Stateful Protocols
Moderni firewall-ovi stanja kombinuju aspekte NAT, Circuli, Proxy.ja u jedan sistem. Oni saobraćaj proveravaju na
osnovu karakteristika paketa, ali uključen je i deo praćenja sesija. Napravljeni su da budu transparentniji od prethodnih
rešenja. Uključuju proveru podataka na nivou aplikacije kao i proveru kroy specifične servise. Oni su danas najćešći oblik
firewall-a.
Transparentni firewall
Transparentni firewall-ovi su poznati i kao bridging firewall-ovi, nisu u potpunosti nove već više liče na podkategoriju
gore navedenih. Kada postoji firewall koji radi na IP lejeru ili iznad. Transparentni firewall čuči na sloju dva i prati lejer tri i
sav saobraćaj. Mogu koristiti pregled paketa a pri tom da ostanu nevidljivi za aplikaciju.
Ne zahtevaju promenu IP adrese pri postavljanju jer funkcionišu iz drugog lejera. Mogu se razdvajati zone različitih
sigurnosnih podešavanja i mogu biti potpuno transparentne. Kako funkcionišu na drugom sloju imaju manji gubitak –
overhead i daju bolje performanse i vrše dublje pregledanje paketa.
Ne može biti napadnut jer ga napadač ne vidi( nema IP adresu sem one koja sluuži za konfigurisanje).
Od verzije 2.2 kernela pojavio se IPChains. Kod njega je bitno da se mora dozvoliti i pakete sa ACK bitom podešenim da bi
odgovori od servera spolja bili propušteni.
Verzija 2.4 donosi još bolju implementaciju firewall-a koja se naziva NetFilter. NetFilter donosi novine kao sto su
poboljšano logovanje i implementirao je praćenje stanja veze. Linux firewall nije skup, moze se podići na običnom računaru,
podrška open-source zajednice čine da je ovaj firewall jedna od najboljih alternativa skupih posvećenih firewall-ova. Danas
postoje i kompanije koje koriste Linux kao osnovu za svoje Firewalove i nude to kao komercijalni proizvod, s’ tim što
naplaćuju podršku. Jedna od tih kompanija je Vyatta koja nudi softver za rutiranje kao osnov, koji u sebi sadrži i firewall.
Sledi kratak opis kako je implementiran i kako se ponaša firewall na Vyatta OFR sistemu.
U Vyatta OFR sistemu je primenjen koncept provere stanja veze. Pruža značajnu podršku sveukupne sigurnosti u
slojevitom pristupu zaštite mreže.
Da bi se koristio firewall, definišemo skup pravila koji imenujemo (možemo da ga zamislimo kao kontejner koji u sebi
sadrži pravila) i potom samo primenimo imenovani skup na jedan od "in", "out" ili "local" tokova na mrežnom priključku.
Za imišljeno preduzeće potrebno je obebediti osnovnu zaštitu mreže pomoću firewall-a na Vyatta OFR sistemu. Pored
firewall-a, Vyatta OFR sistem ima i ulogu rutiranja saobraćaja, DHCP prosleđivanje saobraćaja itd. U ovom radu će biti
obrađena samo realizacija firewall-a, dok se ostali servisi ne obrađuju.
Topologija mreže u predueću je podeljena na četiri podmreže:
1. Lokalna
2. JIN
3. JIM
4. Izlaz prema internetu
Mreža "Lokalna"
Mreža “Lokalna” je namenjena radnim stanicama zaposlenih u preduzeću. Za podmrežu “Lokalna” je uzet privatni
adresni opseg 172.16.0.0/24.
Sledi raspored po adresama:
172.16.0.0 - Adresa mreže
172.16.0.1 - Adresa mrežnog priključka (eth0) na Vyatta OFR sistemu, kao i
adresa podrazemevanog mrežnog prolaza
172.16.0.2 – 172.16.0.50 - Rezervisano za specijalne potrebe
172.16.0.10 - Administrator 1
172.16.0.11 - Administrator 2
172.16.0.51 – 172.16.0.254 - DHCP za radne stanice
172.16.0.255 - Broadcast adresa mreže
Mreža "JIN"
U mreži “JIN” se nalaze serveri koji su namenjeni za lokalnu upotrebu u preduzeću i nisu namenjeni da pružaju usluge
“spolja”, odnosno sa interneta. Za ovu podmrežu rezervisan je privatni adresni opseg 192.168.0.0/28.
Sledi raspored po adresama:
192.168.0.0 - Adresa mreže
192.168.0.1 - Adresa mrežnog priključka (eth1) na Vyatta OFR sistemu, kao i
adresa podrazemevanog mrežnog prolaza
192.168.0.2 - Adresa DHCP servera
192.168.0.3 - Adresa aplikacionog servera sa MySql bazom
192.168.0.15 - Broadcast adresa mreže
Mreža "JIM"
U mreži “JIM” nalaze se serveri koji imaju neke od servisa dostupne i sa interneta. To je tzv. demilitarizovana (DMZ)
zona. Opseg adresa namenjen ovoj mreži je 192.168.0.16/28.
Raspored adresa:
192.168.0.16 - Adresa mreže
192.168.0.17 - Adresa mrežnog priključka (eth2) na Vyatta OFR sistemu, kao i
adresa podrazemevanog mrežnog prolaza
192.168.0.18 - Web server
192.168.0.19 - Mail server
192.168.0.31 - Broadcast adresa mreže
Konačno dolazimo i do samog podešavanja Vyatta OFR sistema. Napisaćemo potreban skup pravila za mreže i na kraju
ih primeniti na mrežne priključke. Svaki skup pravila i sama pravila će biti ukratko objašnjena. Na kraju opisujemo kako se
vrši pregled filtriranih paketa.
vyatta@vyatta:~$ configure
[edit]
vyatta@vyatta# set system host-name router1
[edit]
vyatta@vyatta# commit
[edit]
vyatta@router1# set interfaces ethernet eth0 address 172.16.0.1/24
[edit]
vyatta@router1# set interfaces ethernet eth0 description “Lokalna mreza”
[edit]
vyatta@router1# set interfaces ethernet eth1 address 192.168.0.1/28
[edit]
vyatta@router1# set interfaces ethernet eth1 description “JIN mreza”
[edit]
vyatta@router1# set interfaces ethernet eth2 address 192.168.0.17/28
[edit]
vyatta@router1# set interfaces ethernet eth2 description “JIM mreza”
Na mrežnom priključku eth3 je potrebno da podesimo tri IP adrese, koje se fizički nalaze na istom mrežnom
priključku.
[edit]
vyatta@router1# set interfaces ethernet eth3 address 200.200.200.1/29
[edit]
vyatta@router1# set interfaces ethernet eth3 address 200.200.200.2/29
[edit]
vyatta@router1# set interfaces ethernet eth3 address 200.200.200.3/29
[edit]
vyatta@router1# set interfaces ethernet eth3 description “Internet”
[edit]
vyatta@vyatta# commit
Sada možemo pogledati kako izgleda naša konfiguracija mrežnih priključaka i uveriti se da je sve u redu.
[edit]
vyatta@router1# show interfaces ethernet
eth0 {
address 172.16.0.1/24
description “Lokalna mreza”
hw-id 08:00:27:f7:c3:f1
}
eth1 {
address 192.168.0.1/28
description “JIN mreza”
hw-id 08:00:27:16:90:a3
}
eth2 {
address 192.168.0.17/28
description “JIM mreza”
hw-id 08:00:27:a9:01:46
}
eth3 {
address 200.200.200.1/29
address 200.200.200.2/29
address 200.200.200.3/29
description Internet
hw-id 08:00:27:4e:70:1c
}
[edit]
Firewall pravila
Potrebno je definisati skup pravila za pristup svakoj od mreža.
[edit]
vyatta@router1# set firewall name JIN_ACCESS description "Pristup JIN mrezi"
Sada možemo dodavati pravila u imenovani skup JIN_ACCESS, odnosno konfiguracioni čvor firewall name
JIN_ACCESS.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 description "ICMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 protocol icmp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 1 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIN_ACCESS rule 1
action accept
description "ICMP pristup"
protocol icmp
source {
address 172.16.0.10-172.16.0.11
}
Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese. Obratimo
pažnju da ovde filtriramo pakete u odnosu na odredišni port, pratimo stanje veze i zapisujemo akcije u dnevnik (log).
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 description "SSH pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 destination port ssh
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 log enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 protocol tcp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 2 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIN_ACCESS rule 2
action accept
description "SSH pristup"
destination {
port ssh
}
log enable
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 description "SNMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 destination port snmp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 protocol tcp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 3 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIN_ACCESS rule 3
action accept
description "SNMP pristup"
destination {
port snmp
}
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}
Četvrto pravilo.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 description "SNMP pristup"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 destination port snmp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 protocol udp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 4 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIN_ACCESS rule 4
action accept
description "SNMP pristup"
destination {
port snmp
}
protocol udp
source {
address 172.16.0.10-172.16.0.11
}
Peto i šesto pravilo dozvoljavaju pristup MySql bazi na aplikacionom serveru administratorima i pristup sa web
servera, respektivno.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 description "DB pristup
administratori"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 destination port mysql
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 protocol tcp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 5 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 description "DB pristup sa WEB
servera"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 destination port mysql
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 protocol tcp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 source address 192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 6 state established enable
[edit]
vyatta@router1# commit
Sedmo pravilo omogućava pristup centralnoj aplikaciji za zaposlene koja radi sa tcp protokolom i osluškuje na portu
8080.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 description "APP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 destination address
192.168.0.3/28
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 destination port 8080
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 protocol tcp
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 source address 172.16.0.0/24
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 state new enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 state related enable
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 7 state established enable
[edit]
vyatta@router1# commit
Poslednje, osmo pravilo u ovom skupu je pravilo koje omogućuje DHCP komunikaciju između klijenata i servera.
Ovde je interesantno što možemo filtrirati paketi i u odnosu na izvorišni port.
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 action accept
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 description "DHCP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 destination address
192.168.0.2/28
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 destination port 67
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 source port 68
[edit]
vyatta@router1# set firewall name JIN_ACCESS rule 8 protocol udp
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS description "Pristup JIM mrezi"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 description "ICMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 protocol icmp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 1 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIM_ACCESS rule 1
action accept
description "ICMP pristup za administratore"
protocol icmp
source {
address 172.16.0.10-172.16.0.11
}
Drugo pravilo omogućava pristup administratorima preko SSH protokola na osnovu izvorišne adrese.
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 description "SSH pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 destination port ssh
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 log enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 2 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show firewall name JIM_ACCESS rule 2
action accept
description "SSH pristup za administratore"
destination {
port ssh
}
log enable
protocol tcp
source {
address 172.16.0.10-172.16.0.11
}
state {
established enable
new enable
related enable
}
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 description "SNMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 destination port snmp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 3 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 description "SNMP pristup za
administratore"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 destination port snmp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 protocol udp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 4 source address 172.16.0.10-
172.16.0.11
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 description "FTP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 destination port 20
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 source address 172.16.0.0/24
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 5 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 description "FTP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 destination port 21
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 source address 172.16.0.0/24
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 6 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 description "POP3 pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 destination port pop3
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 source address 172.16.0.0/24
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 7 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 description "IMAP pristup sa
mreze LOKALNA"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 destination port imap
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 source address 172.16.0.0/24
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 8 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 description "Pristup web
prezentaciji"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 destination port http
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 9 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 description "SMTP pristup"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 destination port smtp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 10 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 action accept
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 description "webmail pristup"
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 destination port http
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 protocol tcp
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 state new enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 state related enable
[edit]
vyatta@router1# set firewall name JIM_ACCESS rule 11 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS description "Pristup sa interneta
i lokalne mreze javnim servisima"
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 action accept
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 description "Pristup web
prezentaciji"
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination address
192.168.0.18/28
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 destination port 80
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 protocol tcp
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state new enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state related enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 1 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 action accept
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 description "SNMP pristup"
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 destination port 25
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 protocol tcp
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state new enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state related enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 2 state established enable
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 action accept
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 description "webmail
pristup"
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 destination address
192.168.0.19/28
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 destination port 80
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 protocol tcp
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state new enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state related enable
[edit]
vyatta@router1# set firewall name PUBLIC_ACCESS rule 3 state established enable
[edit]
vyatta@router1# commit
Iako smo praktično mogli prvo i treće pravilo definisati kao jedno s tim što u tom slučaju ne bi stavljali odredišnu IP
adresu, odlučili smo se da ta dva pravila razdvojimo radi finije kontrole.
Na mrežni priključak eth1 i tok saobraćaja out primenjujemo skup imenovanih pravila JIN_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth1 firewall out name JIN_ACCESS
[edit]
vyatta@router1# commit
Na mrežni priključak eth2 i tok saobraćaja out primenjujemo skup imenovanih pravila JIM_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth2 firewall out name JIM_ACCESS
[edit]
vyatta@router1# commit
Na mrežni priključak eth3 i tok saobraćaja in primenjujemo skup imenovanih pravila PUBLIC_ACCESS.
[edit]
vyatta@router1# set interfaces ethernet eth3 firewall in name PUBLIC_ACCESS
[edit]
vyatta@router1# commit
[edit]
vyatta@router1# show interfaces ethernet
eth0 {
address 172.16.0.1/24
description “Lokalna mreza”
hw-id 08:00:27:f7:c3:f1
}
eth1 {
address 192.168.0.1/28
description “JIN mreza”
firewall {
out {
name JIN_ACCESS
}
}
hw-id 08:00:27:16:90:a3
}
eth2 {
address 192.168.0.17/28
description “JIM mreza”
firewall {
out {
name JIM_ACCESS
}
}
hw-id 08:00:27:a9:01:46
}
eth3 {
address 200.200.200.1/29
address 200.200.200.2/29
address 200.200.200.3/29
description Internet
firewall {
in {
name PUBLIC_ACCESS
}
}
hw-id 08:00:27:4e:70:1c
}
[edit]
[edit]
vyatta@router1# exit
Pregled imenovanih skupa pravila u tabelarnom prikazu vrši se sledećom komandom. Ovde će biti prikazani svi
skupovi pravila koje smo definisali.
[edit]
vyatta@router1:~$ show firewall
Možemo pogledati samo određeni skup pravila ili samo određeno pravilo u nekom skupu.
[edit]
vyatta@router1:~$ show firewall JIN_ACCESS
[edit]
vyatta@router1:~$ show firewall JIN_ACCESS statistics
Vyatta kao sistem baziran na Linux operativnom sistemu sa komandnim okruženjem prilagođen administraciji, pruža
veoma robustan, prilagodljiv i fleksibilan sistem.
Impementacija firewall-a na Vyatta OFR sistemu je izvedena na veoma visokom nivou iako postoji još mesta za
poboljšanja.