Dashboard 2.0 tűzfal


1 . Dashboard 2.0 tűzfal zónái

Az új Dashboard 2.0 tűzfalon a zónákat a következők szerint neveztük el:

Publikus_10   –   Publikus szegmens
Privát_11     –   Privát szegmens
Privát_12     –   Privát (régi nevén: védett) szegmens
Wifi_3        –   Wifi szegmens

(Néhány intézménynél a szegmens azonosítók különbözőek, más VLAN-okban lehetnek!)

Minden forgalom engedve van az internet irányába minden VLAN/hálózat irányából.
A privát hálózatú VLAN-ok felé nincs külső forgalom engedve, csak azok, amelyeket a VLAN-on belülről kezdeményeztek.

Figyelem! Az Internet irányából Privát hálózatra (központi tűzfal által NAT-olt, 10.x.x.x -es IP címek felé) port irányítást nem tudunk tenni, csak Publikus szegmensen lehet portot nyitni az alábbi tűzfal szűrési beállításokkal:

Ezt a Dashboard 2.0 felületén a Hálózat menüpont és Tűzfal almenüpontban lehet megtenni.
Lehetőség van választani IPv4 és IPv6 -es tűzfal szabályokat, azon belül

  • „Szegmensből érkező csomagok” -> tartanak az Internet felé, illetve
  • Internet felől érkező -> „Szegmensbe érkező csomagok”-ra

írni a tűzfal szabályt, ami lehet engedő, permit vagy tiltó, deny szabály!

Általánosságban, ha a Szegmensbe érkező csomagoknál adjuk hozzá a kívánt CÉL IP címet, illetve CÉL PORT-ot akkor tudunk portot nyitni a tűzfalon az adott cél számítógéphez!

 

2 . Néhány példa a helyi tűzfalszabályok felvételére

1. IP Forgalom engedélyezése 2 VLAN/Szegmens között (példánkban ezek a Privát és a Wifi szegmensek)

A Hálózat/Helyi hálózat menüpont alatt a „DHCP szolgáltatás az egyes szegmensekben” szekciónál  tudunk tájékozódni a pontos hálózati adatokról az érintett szegmensek esetén.

Majd felvesszük a Tűzfal almenüben a megfelelő hálózatokat a megfelelő szegmensben szabályként („Új szabály hozzáadása” gomb). Az alhálózati maszkot egyszerűsített formában kell megadni! (pl. 255.255.255.128 = /25).

a) Privát szegmenst kiválasztva, forrás hálózatként a Wifi szegmens hálózatát adjuk meg, cél hálózat pedig a Privát szegmens hálózata lesz, amit IP protokollra engedünk (permit) a „Szegmensbe érkező csomagok” alatt:

b) Wifi szegmenst kiválasztva, forrás hálózatként a Privát szegmens hálózatát adjuk meg, cél hálózat pedig a Wifi szegmens hálózata lesz, amit IP protokollra engedünk (permit) a „Szegmensbe érkező csomagok” alatt:

c) beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Természetesen, ha csak 1 IP felé/felől akarjuk azt megtenni, úgy a teljes alhálózat felvétele helyett értelemszerűen azt az 1 IP-t rögzítsük a szabály felvételi lapon.

 

2. WWW (tcp 80) és a HTTPS (tcp 443) engedélyezése internet irányából (például Sulix szerver használata miatt)

a) Kiválasztjuk a Publikus szegmenst, majd a megfelelő szabályokat felvesszük a „Szegmensbe érkező csomagok” alá a szerver adott IP címére vonatkozóan:

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.
Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

3. VPN-hez szükséges port(ok) felvétele

a) A VPN-ek esetében elég csak az adott VPN megvalósítás által használt TCP/UDP portok engedése az internet irányából, egyéb IP protokollazonosítójú tunnelező, enkapszuláló megoldások külön felvételére nincs szükség (GRE, ESP, stb)! IPsec esetén például a következők felvétele kell (IKE, NAT-T esetén):

Természetesen forrás IP/portszámot is megadhatunk a nagyobb biztonság érdekében.

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.
Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

4. Port range felvétele (pl. passzív módú FTP esetén)

a) Példánkban a publikus szegmensen elhelyezett egy passzív módú FTP szerver elérését vesszük fel Internet irányából. Ehhez tudni kell, hogy az adott típusú FTP szerverünk melyik magas portcsoportot figyel adat kapcsolatra (parancs csatornára továbbra is a tcp 21 használatos a legtöbb esetben). A példánkban az adatátvitelre a tcp 28000-30000 használatos (28000..30000 formában), így arra vesszük fel az engedő szabályt az tcp 21 mellett:

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.
Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

5. ICMP tiltása Publikus szegmensen

Természetesen vehetünk fel tiltó szabályokat is az adott szegmensből és/vagy szegmensbe irányuló forgalmakat nézve.

a) A lenti példában az ICMP-t tiltjuk a teljes Publikus szegmensben mind a két irányban.
b) beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)