Роутер файервол m0n0wall FireWall/Router

Мною будет рассказано как организовать доступ в сеть интернет из двух локальных сетей, создать VPN-туннель с удаленным офисом и обеспечить работу почтового сервера, веб сервера и сервера имен расположенных в демилитаризованной зоне.

Исходные данные:

x86 — совместимый ПК (iCeleron 400МГц, 128Мб ОЗУ).
3.5″ дисковод для дискет.
CD-ROM дисковод.
4 различных сетевых адаптера 1000/100/10.
Образ cdrom-1.21.iso (6Мб) записанный на CD.
1.44Мб 3.5″ чистая дискета.

1.2.3.1/28 — IP-адрес роутера провайдера.
1.2.3.2/28 — внешний IP-адрес m0n0wall.
1.2.3.3/28 — IP-адрес почтового сервера.
1.2.3.4/28 — IP-адрес сервера имен.
1.2.3.5/28 — IP-адрес веб сервера.

172.16.1.0/24 — локальная сеть.
192.168.3.0/24 — демилитаризованная зона.
192.168.4.0/24 — иная локальная сеть.

IP-адреса присвоенные интерфейсам m0n0wall:
LAN: 172.16.1.254/24
WAN: 1.2.3.2/28
DMZ: 192.168.3.254/24
LAN2: 192.168.4.254/24

IP-адреса серверов расположенных в демилитаризованной зоне:
192.168.3.1 — сервер имен.
192.168.3.2 — веб сервер.
192.168.3.3 — почтовый сервер.

Готовые образы для встраиваемых платформ net45xx/net48xx/WRAP, а так же GENERIC-PC/CDROM можно скачать здесь.

Установка.

Мною был выбран CDROM образ, поэтому речь пойдет именно об этом варианте установки.

После загрузки системы на экране появится следующая информация:

LAN IP address: 192.168.1.1

Port configuration:

LAN -> sis0
WAN -> sis1

m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host

Enter a number:

Сперва мы должны присвоить LAN интерфейсу необходимый IP-адрес.

Enter a number: 2

Enter the new LAN IP address: 172.16.1.254

Subnet masks are entered as bit counts (as in CIDR notation) in m0n0wall.
e.g. 255.255.255.0 = 24
255.255.0.0   = 16
255.0.0.0     = 8

Enter the new LAN subnet bit count: 24

Do you want to enable the DHCP server on LAN? (y/n) n

The LAN IP address has been set to 172.16.1.254/24.
You can now access the webGUI by opening the following URL
in your browser:

http://172.16.1.254/

Press ENTER to continue

После этого нам необходимо указать интерфейсы подключенные к WAN и LAN.

Enter a number: 1

Valid interfaces are:

rl0    xx:xx:xx:xx:xx:xx
sk0    xx:xx:xx:xx:xx:xx
fxp0   xx:xx:xx:xx:xx:xx
sk1    xx:xx:xx:xx:xx:xx

Do you want to set up VLANs first?
If you’re not going to use VLANs, or only for optional interfaes, you
should say no here and use the webGUI to configure VLANs later, if required.

Do you want to set up VLANs now? (y/n) n

Enter the LAN interface name or ‘a’ for auto-detection: rl0

Enter the WAN interface name or ‘a’ for auto-detection
(or nothing if finished): sk0

Enter the Optional 1 interface name or ‘a’ for auto-detection
(or nothing if finished): fxp0

Enter the Optional 2 interface name or ‘a’ for auto-detection
(or nothing if finished): sk1

Enter the Optional 3 interface name or ‘a’ for auto-detection
(or nothing if finished):

The interfaces will be assigned as follows:

LAN  -> rl0
WAN  -> sk0
OPT1 -> fxp0 (OPT1)
OPT2 -> sk1 (OPT2)

The firewall will reboot after saving the changes.

Do you want to proceed? (y/n) y

The firewall is rebooting now

На этом этапе установку можно считать завершенной, теперь давайте перейдем непосредственно к настройке самого m0n0wall.
Не забудьте подсоединить LAN интерфейс m0n0wall к локальной сети либо на прямую патчкордом к другому ПК.

Настройка.

Со своей рабочей станции при помощи браузера вводим адрес LAN интерфейса m0n0wall, http://172.16.1.254
Для работы с веб-интерфейсом необходимо пройти авторизацию, по умолчанию, имя пользователя admin пароль mono

Первым делом заходим в System: «General Setup», где по своему желанию можем изменить Hostname и Domain.

В рассматриваемом мною примере используется статический IP-адрес выделенный провайдером, в связи с чем необходимо ввести IP-адреса сервера имен в поле DNS Servers 192.168.3.1 4.3.2.1 где,
192.168.3.1 — сервер имен расположенный в DMZ.
4.3.2.1 — внешний сервер имен провайдера.

Для большей безопасности необходимо изменить Username и Password принятые по умолчанию.

Изменить webGUI protocol на HTTPS.

Задать иной номер порта в поле webGUI port например: 445.

По желанию можно установить необходимую временную зону и сервер времени в полях Time zone и NTP time server.

По окончанию необходимо нажать на «Save» для сохранения изменений.

Следующим этапом переходим в раздел Interfaces: «WAN», где необходимо указать тип подключения, IP-адрес с маской сети и маршрутизатор провайдера.

Type -> Static
IP address -> 1.2.3.2/28
Gateway -> 1.2.3.1/28

По окончанию необходимо нажать на «Save» для сохранения изменений.

Далее следует переименовать и присвоить IP-адреса интерфейсам OPT1 и OPT2.

Interfaces: Optional 1 (OPT1)
Ставим галочку на против Enable Optional 1 interface
В поле «Description» вводим DMZ
Поле «Bridge with» оставляем как есть в none
В поле «IP address» вводим 192.168.3.254/24

По окончанию необходимо нажать на «Save» для сохранения изменений.

Interfaces: Optional 2 (OPT2)
Ставим галочку на против Enable Optional 2 interface
В поле «Description» вводим LAN2
Поле «Bridge with» оставляем как есть в none
В поле «IP address» вводим 192.168.4.254/24

По окончанию необходимо нажать на «Save» для сохранения изменений.

Далее перейдем к настройке правил брандмауэра и NAT.

Сперва заходим в раздел Firewall: NAT -> Server NAT.

Указываем внешний IP-адрес почтового сервера.
External IP address -> 1.2.3.3
Description -> Mail server

Указываем внешний IP-адрес сервера имен.
External IP address -> 1.2.3.4
Description -> Domain server

Указываем внешний IP-адрес веб сервера.
External IP address -> 1.2.3.5
Description -> Web server

Возможно потребуется настроить Services: «Proxy ARP», чтобы m0n0wall обрабатывал запросы идущие на IP-адреса отличные от WAN.

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.3
Description -> Mail server

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.4
Description -> Domain server

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.5
Description -> Web server

После того как «Server NAT» настроен, перейдем во вкладку Firewall: NAT -> Inbound.

Здесь нам необходимо ввести правила для почтового, веб сервера и сервера имен.

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> SMTP
NAT IP -> 192.168.3.3
Local port -> SMTP
Description -> allow SMTP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> POP3
NAT IP -> 192.168.3.3
Local port -> POP3
Description -> allow POP3 to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> IMAP
NAT IP -> 192.168.3.3
Local port -> IMAP
Description -> allow IMAP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 993
NAT IP -> 192.168.3.3
Local port -> 993
Description -> allow IMAPs to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 995
NAT IP -> 192.168.3.3
Local port -> 995
Description -> allow POP3s to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.4 (Domain server)
Protocol -> TCP/UDP
External port range -> DNS
NAT IP -> 192.168.3.1
Local port -> DNS
Description -> allow DNS to Domain server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTP
NAT IP -> 192.168.3.2
Local port -> HTTP
Description -> allow HTTP to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTPS
NAT IP -> 192.168.3.2
Local port -> HTTPS
Description -> allow HTTPs to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Теперь нам необходимо перейти в Firewall: Rules -> LAN и произвести настройку правил для локальной сети.

По умолчанию нет ограничений на весь исходящий трафик из локальной сети, на самом деле это не правильно, но для того чобы убедиться что все работает мы применим следующие правила:

Блокируем «мусор» идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 135
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service

Блокируем «мусор» идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 137-139
Destination -> any
Destination port range -> any
Description -> Block NetBIOS services

Блокируем «мусор» идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 445
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service

Запрещаем исходящий трафик на 25 (SMTP) порт, за исключением нашего почтового сервера.
Action -> block
Interface -> LAN
Protocol -> TCP
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: Single host or Alias
Address: 192.168.3.3
Destination port range -> any
Description -> block SMTP to any *BUT* our Mail server

Открываем полный доступ за исключением доступа в сеть LAN2.
Action -> Pass
Interface -> LAN
Protocol -> any
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit LAN to any *BUT* LAN2

Правила для локальной сети LAN2 создаем по аналогии с правилами для сети LAN.

После этого нам необходимо перейти в Firewall: Rules -> DMZ и произвести настройку правил для демилитаризованной зоны.

Разрешаем исходящий трафик SMTP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> SMTP
Destination -> any
Destination port range -> any
Description -> allow SMTP to any

Разрешаем исходящий трафик POP3 от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> POP3
Destination -> any
Destination port range -> any
Description -> allow POP3 to any

Разрешаем исходящий трафик IMAP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> IMAP
Destination -> any
Destination port range -> any
Description -> allow IMAP to any

Разрешаем исходящий трафик IMAPs от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 993
Destination -> any
Destination port range -> any
Description -> allow IMAPs to any

Разрешаем исходящий трафик POP3s от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 995
Destination -> any
Destination port range -> any
Description -> allow POP3s to any

Разрешаем исходящий трафик от сервера имен.
Action -> Pass
Interface -> DMZ
Protocol -> TCP/UDP
Source ->
Type: Single host or Alias
Address: 192.168.3.1
Source port range -> DNS
Destination -> any
Destination port range -> any
Description -> allow DNS to any

Разрешаем исходящий трафик HTTP от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTP
Destination -> any
Destination port range -> any
Description -> allow HTTP to any

Разрешаем исходящий трафик HTTPs от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTPS
Destination -> any
Destination port range -> any
Description -> allow HTTPs to any

Запрещаем доступ в локальную сеть LAN.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN subnet
Description -> block DMZ traffic to LAN

Запрещаем доступ в локальную сеть LAN2.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN2 subnet
Description -> block DMZ traffic to LAN2

Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN

Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN2.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN2

На данном этапе настройку системы можно считать завершенной, для применения новых параметров необходимо перезагрузить m0n0wall, для этого следует перейти в Diagnostics: «Reboot system» и нажать на «Yes».

Для проверки подключения кабелей к соответствующему интерфейсу можно прибегнуть к помощи консоли m0n0wall.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Закончите арифметическое действие * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.