Construire votre propre pare-feu passerelle (5 / 7 étapes)

Étape 5: Configuration du logiciel

Voici un très bref aperçu du processus de configuration.

» Installer et configurer OpenSSH pour l’émulation de terminal de réseau. Les clés prépartagées sont certainement recommandés, mais pas une obligation.
» Vérifier la connectivité SSH depuis une autre machine sur le réseau local en utilisant OpenSSH (* nix) ou du mastic (Windows)
» Installer et configurer la version porté d’OpenBSD PF-le filtrage de paquets, stateful firewall. Vous pouvez jeter un oeil à pf.conf pour obtenir un exemple de ce qui peut ressembler à votre fichier de configuration de PF. En outre, deux grandes sources d’informations relatives aux PF sont le Guide de l’utilisateur de PF et de Peter Hansteen Firewalling avec filtre de paquets d’OpenBSD PF. Merci pour la ressource Peter !
» Installer et configurer n’importe quel autre logiciel que vous souhaiteriez. Je recommande la mise en cache proxy (installer un proxy inversé est gentil trop) Squid, Snort IDS (Intrusion Detection System), ClamAV (antiviru) avec guidage à travers votre pare-feu, Bruteforceblocker (bloqueur de bruteforce SSH) et Snarf (interface web pour les journaux de Snort).

Craig McLean a eu la gentillesse assez pour me laisser intégrer un article How-to sur le même sujet dans celui-ci. Nous nous sommes entendus écrire certains de son article ici. Se rendre compte s’il vous plaît, lui, comme je l’ai, a écrit cet article de la mémoire. Si vous détectez des erreurs dedans, s’il vous plaît laissez-nous savoir. Ce qui suit s’inspire directement de son howto.

Choses à décider
Vous devez décider ce que vous voulez à votre réseau interne pour ressembler quand ce n’est plus, et qui machines devraient avoir accès à ce que. Ce n’est pas aussi complex que cela puisse paraître, mais il bénéficie nous pour s’en sortir à l’avance. Dans ce guide, je vais utiliser ce qui suit :

Choses à savoir
» Vous aurez besoin de savoir quels sont vos interfaces internes et externes et les adresses IP.
» Vous aurez besoin également de connaître les adresses IP des serveurs DNS fournis par votre FAI.
» Le nom de périphérique de FreeBSD pour vos interfaces internes/externes. Ces couleurs sont appelées comme suit : le nom du pilote utilisé pour l’unité suivie d’un nombre. Ce nombre est normalement de 0 (zéro), mais si vous avez plusieurs périphériques en utilisant les mêmes pilotes, chaque dispositif aura un numéro unique à partir de zéro et compter vers le haut. Par exemple, deux Realtek base NIC volonté apear rl0 et rl1. lo0 est votre périphérique loopback (IP 127.0.0.1). Si vous avez configuré pflog pour surveiller votre pare-feu, vous verrez pflog0 ici aussi. (John)

Dans ce guide, je vais utiliser ce qui suit :
» « xl0 » sera mon interface interne.
» 172.16.3.200 est mon adresse IP interne. Hôtes internes devront acheminer les paquets par ce biais.
» « dc0 » sera mon interface externe.
» 82.30.189.185 est mon adresse IP connecté à internet, utilisé pour les ordinateurs dans le monde extérieur pour se connecter à moi.

Vous ne connaissez pas votre adresse IP externe encore, mais une fois l’installation terminée, vous devez utiliser :

pour en savoir.

Si l’adresse IP attribuée par votre FAI est dynamique, vous devrez peut-être configurer DHCP sur votre interface externe. Pour ce faire utiliser dhclient. En outre, tout en utilisant le DHCP sur votre réseau interne est plus convivial, statique IP addressing fonctionne très bien aussi. Il peut aussi faire des audits de sécurité plus simple. (John)

Configuration du système
Il y a un dossier très important sur votre nouvelle machine FreeBSD. Ça s’appelle /etc/rc.conf. Ici vous mettrez l’information sur une variété de choses. Le nom d’hôte du système, adresses IP, les services que vous souhaitez démarrer lorsque le système démarre et bien plus encore. Vous devriez prendre le temps d’avoir un coup d’oeil avant de nous déplacer et Pendant que vous êtes là - faire une copie de sauvegarde !
Ajouter un utilisateur
Si vous n’a pas fait ceci au cours de l’installation, vous devez ajouter un utilisateur non-root que vous pouvez utiliser au quotidien. Cela peut être fait avec la commande :

Assurez-vous que l’utilisateur est dans le groupe « wheel ». Il s’agit d’un groupe spécial qui contient tous les utilisateurs qui peuvent devenir « root ». Si vous trouvez « su » vous rejeter, c’est probablement parce que vous n’êtes pas membre du groupe « wheel ».

La commande pw peut également servir à ajouter/modifier/supprimer des utilisateurs et des groupes. (John)

Configurer OpenSSH
OpenSSH (Open Secure SHell) devrait être votre arme de choix lors de la connexion vers votre nouvel hôte FreeBSD. C’est sûr, inclus par défaut avec l’OS, et il y a n’importe quel nombre de clients, que vous pouvez utiliser pour se connecter à lui. Les machines Linux aura ssh par défaut, les utilisateurs de windows peuvent mettre la main sur PuTTY (www.chiark.greenend.org.uk/ ~sgtatham/putty/).

OpenSSH peut être activé sur FreeBSD en éditant /etc/rc.conf et en veillant à ce que vous avez ce qui suit :

là-dedans.
Votre machine sera mis sur l’internet, et les gens vont essayer d’obtenir. Un des moyens qu’ils feront cela doit essayer de deviner les noms d’utilisateur et mots de passe, qui utilise ssh par défaut. Si vous ne pas absolument besoin ssh depuis internet, assurez-vous que vous écoutez uniquement des connexions sur l’interface interne. Faire ça en éditant le ssh daemon du fichier de configuration qui vit à /etc/ssh/sshd_config et assurez-vous que vous avez

là-dedans, en remplaçant 172.16.3.200 par l’adresse IP interne, que nous avons décidé de plus tôt.

Vous pouvez maintenant lancer

pour démarrer le service.

Si vous décidez que vous devez ssh accès du monde extérieur, vous devez désactiver l’accès par mot de passe et utiliser à la place publik-clé d’authentification. Google vous dira comment !

Mise en place de Firewall et NAT
Avant tout, nous voulons ce système d’être protégé contre les méchants sur internet à l’aide de pare-feu et partagez notre connexion internet avec d’autres équipements sur notre réseau à l’aide de NAT (Network Address Translation).

Le pare-feu
Tandis que Craig couvre à l’aide de filtre IP ici, je permet d’ajouter un tutoriel pour utiliser PF quand j’en ai l’occasion. Pour l’instant, vous pouvez consulter le Guide de PF (openbsd.org/faq/pf/) et le fichier de configuration d’exemple que j’ai joint (pf.conf). (John)

Tout d’abord, permettez-moi de vous indiquer à une autre URL grande, c’est le célèbre « ipf HOWTO »: www.obfuscation.org/ipf/. Gardez-le à portée de main comme nous passer par ces étapes.
En une minute, « in » et « out » vont avoir une signification très spécifique, mais nous allons vous inquiétez pas qui encore. Logiquement, nous voulons faire ce qui suit :
» Autoriser le trafic IP interne à la machine firewall.
» Rediriger (le cas échéant) le trafic IP interne à l’internet.
» Redirect répond au trafic interne vers des systèmes individuels.
» Machines permettent l’accès à internet à certains services/ports du pare-feu.
» (peut-être) de rediriger l’accès des machines sur l’internet à d’autres machines sur le réseau local.
» Bloquer tout le reste.
Tout d’abord, il faut activer ipfilter. Qui a besoin de ce qui suit dans /etc/rc.conf

Cela devrait être assez explicite, et la première chose à noter est l’emplacement du fichier rules, /etc/ipf.conf. C’est le lieu de résidence toutes nos règles.
De là, « in » et « out » il fallait être utilisé très prudemment, car ils renvoient à « in » et « out » d’une interface spécifique. Tenez-en compte lorsque nous vaquons.
Plus tôt, nous avons décidé quelle logique que nous voulions et peut maintenant traduire cela dans les règles :

Ce sont les bases. Vous pouvez démarrer le pare-feu, à l’aide de ces règles, en lançant :

Si vous changez les règles et souhaitez recharger les tables de pare-feu, vous pouvez utiliser :

qui se traduit par « Fleur, lire fichier /etc/ipf.confnouvelles règles ». Si vous souhaitez effacer votre firewall rules il suffit d’utiliser :

Pour afficher toutes les règles pour les paquets entrants :

et sortants :

La fonctionnalité « gif » dans FreeBSD est énorme. Il a à peine effleuré la surface de ce qui est possible ou souhaitable. Il n’y a plus d’informations dans les pages de manuel et le lien au début de cette section. Je suggère fortement de que vous jeter un oeil à la fois.

Avertissement : Réfléchir avant de changer les règles de pare-feu si vous êtes connecté via TCP/IP. Vous pouvez trouver si difficiles à récupérer si vous vous trompez et se retrouverez soudainement déconnecté:-)

Le NAT
Ensuite, nous voulons mettre en place la traduction d’adresses réseau pour d’autres appareils sur notre réseau interne. NAT permet de nombreux clients internes partager une adresse internet.
Pour ce faire, nous avons besoin d’ajouter quelques lignes plus à/etc/rc.conf :

Un peu comme les trucs de pare-feu, mais cette fois, les règles sont en /etc/ipnat.rules.
NAT est vraiment facile à mettre en place. Nous voulons laisser un article sur 172.16.0.0/16 à utiliser internet, donc notre règle est :

La première ligne mappe l’accès internet sortant sur dc0 apparaissent des « dc0/32 », qui est l’abréviation de « l’adresse IP actuellement associé à l’interface dc0 ».
La deuxième ligne sera outbout ftp accès au proxy. Ceci est nécessaire si vous ne voulez pas avoir à utiliser le mode ftp passif tout le temps parce que le protocole ftp suce.

Pour obtenir ipnat opérationnel, faites :

À ce stade, n’importe quel client sur le 172.16.0.0 réseau qui a un masque de sous-réseau de 255.255.0.0 ou plus strictes et 172.16.3.200 que son routeur devrait être en mesure d’accéder à l’internet, avec ses paquets « mappés » par le NAT d’installation sur la machine firewall.

Installation du serveur DHCP
La dernière étape de l’installation initiale de votre système sera à fournir à vos clients les informations DHCP. Cela permet une gestion centralisée, devrait les choses changent et affecte automatiquement les IP adresses (et plus important encore, les informations sur la passerelle) aux clients. Nous allons affecter de 172.16.4.1 à 172.16.4.100 pour les clients...
Pour ce faire, nous utiliserons DHCPD de l’ISC de la collection de ports.

Dans le menu, sélectionnez n’importe quelles options vous voulez (je vous recommande au moins la PARANOÏA et prison)

Puis éditer le fichier dhcpd.conf, il ressemble à ceci :

Vous devrez remplacer nnn.nnn.nnn.nnn avec les serveurs de noms de domaine de votre ISP.
Assurez-vous ensuite /etc/rc.conf contient :

et démarrer le serveur dhcp à l’aide

Merci Craig, j’apprécie l’aide. Alors que mon réseau domestique est un peu différent que Craigs, le même s’applique toujours. Voici comment le mien est le programme d’installation :
» Modem-câble uBR900 cisco fournit une connectivité à internet.
» Le modem est connecté à mon pare-feu. L’IP WAN sur le pare-feu est attribué par DHCP du modem.
» Le réseau LAN est statique (pas DHCP) et 192.168.0.0/16
» Mon pare-feu se connecte à un commutateur de 24port. Cela est lié à un 108Mbps 802.11 g D-link WAP et un commutateur gigabit de 8port. Le WAP a une adresse IP statique, mais offre un accès sans fil via DHCP.
» Mon pare-feu n’offre aucune protection interne. Tout le trafic interne déplace unprohibitted par le pare-feu. Cela inclut aussi le trafic sortant. C’est peut-être pas le plus sûr, mais il est certainement plus facile à gérer. Je n’ai pas d’ajouter des règles pare-feu à chaque fois que je veux accéder à un nouveau service.

Votre installation peut être différente aussi. C’est toutes les préférences personnelles.

Articles Liés

Construire votre propre Arduino alimenté par Satellite pour seulement 2000 USD

Construire votre propre Arduino alimenté par Satellite pour seulement 2000 USD

Mise à jour : trouver la version finale de ce satellite à https://www.indiegogo.com/projects/sateloscope/x/7917212Merci de contribuer vos fonds pour mon projet, s'il vous plaît... ***Étape 1: Introduction Mise à jour : trouver la version finale de ce
Construire votre propre moto électrique

Construire votre propre moto électrique

vue d'ensembleLe projet fini est un 1981 Kawasaki KZ440, converti en électrique. Il est alimenté par quatre Optima Yellow Top scellé batteries au plomb (AGM), qui animent un moteur Briggs & Stratton Etek. La vitesse du moteur est contrôlée par un All
Construire votre propre four en terre

Construire votre propre four en terre

Qui n'aime pas les pizza four à bois délicieux ? NUL.J'ai eu un rêve de back yard pizza party de plaisir fois et a commencé à faire des recherches à faire de ce rêve une réalité.D'abord, j'ai étudié le coût des matériaux pour un four à briques (alert
Construire votre propre Atlatl

Construire votre propre Atlatl

Le chasseur, traque ses proies dans un champ avec l'occasion parfaite de grève. Yeux s'amenuisait avec intention pleine sur une mise à mort propre. Lentement mais sûrement le chasseur tire une flèche de son carquois et se prépare à l'attaque. Dans un
Comment construire votre propre mouvement Tardis !

Comment construire votre propre mouvement Tardis !

Obtenir votre « comment construire votre propre Kit de Tardis » & un autre terminé Tardis pour échelle.Étape 1: Étape 1 Ouvrez Tardis Kit Étape 1 Ouvrez « Comment construire votre propre Kit de Tardis »Vérifiez que vous avez toutes les pièces que vou
Construire votre propre Robot Butler!!!  -Tutorial, Photos et vidéo

Construire votre propre Robot Butler!!! -Tutorial, Photos et vidéo

EDIT : plus d'informations sur mes projets Découvrez mon nJe fais aussi consultant pour des effets spéciaux projets/produits robotique et mécatronique. Visitez mon site Web - narobo.com pour plus de détails.Vous avez toujours voulu un robot butler qu
Construire votre propre contrôleur (bon marché!) multifonctions sans fil caméra.

Construire votre propre contrôleur (bon marché!) multifonctions sans fil caméra.

IntroductionJamais imaginé de construire votre propre contrôleur de caméra ?Remarque importante : Les condensateurs pour le MAX619 sont 470n ou 0.47u.  Le schéma est correct, mais la liste des composants a été mal - mise à jour.Il s'agit d'une entrée
Accueil culture hydroponique - un manuel sur la façon de construire votre propre système de culture hydroponique

Accueil culture hydroponique - un manuel sur la façon de construire votre propre système de culture hydroponique

IntroductionCauses et les effets de la surpopulationLa surpopulation ne devrait pas être prise à la légère. Il a des effets terribles, un d'eux étant un manque de nourriture. Notre monde actuellement surpeuplée est causée par la révolution industriel
Comment construire votre propre tambour boîte Cajon Snare réglable

Comment construire votre propre tambour boîte Cajon Snare réglable

dans ce instructable je va vous montrer comment construire votre propre tambour de boîte Cajon. Nous avons fait 2 batterie Cajon pour moins de 50$, donc environ 25$ par pièce. Je vais être entrant dans cette instructable au Concours Musical Instrumen
Construire votre propre routeur/fraiseuse CNC

Construire votre propre routeur/fraiseuse CNC

Déjà à l'âge de 12 ans, je rêvais de faire une machine qui pourrait rendre les choses ! Une machine qui me donnerait la possibilité de créer des produits dans et autour de la maison. Deux ans plus tard, j'ai trébuché ont la mention « commande numériq
Construire votre propre ordinateur portable

Construire votre propre ordinateur portable

pourquoi quelqu'un sortir, acheter un ordinateur auprès d'un fabricant comme Dell ou Gateway, quand ils pouvaient construire un ordinateur plus puissant pour moins d'argent ? La réponse, ils ne savent pas comment le construire.Cela peut sembler un pr
Construire votre propre Smartphone

Construire votre propre Smartphone

Ce tutoriel vous apporte de bout en bout dans la construction de votre propre smartphone. Vous commencerez par 3D impression cas, puis souder les circuits imprimés ensemble, Assemblée et enfin installer un OS mobile sur votre téléphone et à l'aide de
Construire votre propre micro-ordinateur de style rétro.

Construire votre propre micro-ordinateur de style rétro.

Années 1970 aux années 1980 ont été les moments de magie pour l'ordinateur personnel.    Si vous pourriez le temps voyage retour à 1976 à Dr Crist à Palo Alto, CA, vous auriez trouvé quelques gars cherche débraillés, créant l'ordinateur original Appl
Comment construire votre propre ordinateur

Comment construire votre propre ordinateur

Ce guide est écrit pour fournir une instruction simple pour montrer comment construire un ordinateur. En raison de la limitation du nombre de mots, cette instruction ne parlerai pas de détails comme la façon de mettre le processeur sur la carte mère,