Назад | Перейти на главную страницу

Преобразование iptables в Brocade / Vyatta

Я бы хотел переключиться с iptables к Brocade/Vyatta, но у вас проблемы с "преобразованием" правил брандмауэра.

Это мой iptables, который работает:

# Default policy to drop 'everything' but our output to internet
iptables -P FORWARD DROP
iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT

# Allow established connections (the responses to our outgoing traffic)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow local programs that use loopback (Unix sockets)
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT

# Allow traffic between VLAN servers
iptables -A INPUT -s 89.55.42.0/28 -j ACCEPT

# Allow SSH
#iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

# Allow ICMP for monitoring
iptables -A INPUT -p icmp -j ACCEPT

А это моя проба парчи / Вятты:

set security firewall name VLAN-200-IN default-action 'drop'

set security firewall name VLAN-200-IN rule 10 action 'accept'
set security firewall name VLAN-200-IN rule 10 source address '89.55.42.0/28'

set security firewall name VLAN-200-IN rule 20 action 'accept'
set security firewall name VLAN-200-IN rule 20 destination port '22'
set security firewall name VLAN-200-IN rule 20 protocol 'tcp'

set security firewall name VLAN-200-IN rule 30 action 'accept'
set security firewall name VLAN-200-IN rule 30 protocol 'icmp'

set security firewall name VLAN-200-OUT default-action 'accept'

Который подключен к моей VLAN / VIF:

 interfaces {
        bonding dp0bond1 {
                address 77.51.23.1/23
                mode lacp
                vif 200 {
                        address 89.55.42.0/28
                        firewall {
                            in VLAN-200-IN
                            out VLAN-200-OUT
                        }
                }
                vrrp {
                        vrrp-group 2 {
                                ...
                        }
                }
        }
...

Я тестирую и хочу защитить VLAN 200, но в моем примере я все еще могу отправлять пакеты через порт SIP 5060 на серверы за шлюзом. Что я неправильно понял?

По общему признанию, я не знаю этих блоков Vyatta, но если мы предположим, что конфигурация VIF похожа по поведению на SVI (интерфейс Vlan) на маршрутизаторе Cisco, тогда входящие и исходящие направления правил следует рассматривать с точки зрения интерфейса VLAN маршрутизатора. а не сам VLAN.

Другими словами, В для движения вход в роутер в этой VLAN, ВНЕ для движения оставив роутер в этой VLAN. Правила IN защищают остальную часть вашей маршрутизируемой сети от посторонних предметов. на интерфейс vif 200. Правила OUT защищают содержимое интерфейса vif 200 от остальной части вашей сети.

Теперь вы должны увидеть, что с вашей очень разрешающей политикой VLAN-200-OUT вы разрешаете направлять что угодно через интерфейс vif 200 на ваши серверы. Поскольку трафик SIP на 5060, скорее всего, является UDP, ему не нужна установка двустороннего TCP-соединения (которое может быть перехвачено правилами IN), и вместо этого ему разрешено проходить.

Конечно, я могу ошибаться насчет этой конкретной платформы - и не совсем очевидно, какова реальная топология вашей сети. Предположительно коробка Вятты выступает в роли роутера?