Использование ФПСУ-IP для контроля доступа в интернет с NAT
|
|
Использование ФПСУ-IP для контроля доступа в интернет с NAT |
|
|
Рассмотрим ситуацию, когда сеть организации использует внутренние локальные адреса, доступ ко внешним ресурсам в интернет осуществляется с помощью технологии NAT. ФПСУ-IP выполняет процесс NAT, преобразуя серый IP-адрес в белый IP-адрес из диапазона адресов NAT.
С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии принципиальным является следующее: •со стороны внутреннего порта комплекса (порта 2) существует одна IP подсеть, маршрутизаторы отсутствуют; •со стороны внешнего порта (порта 1) установлен пограничный маршрутизатор, через который осуществляется доступ в интернет; •межсетевым экраном разрешены исходящие соединения всем хостам IP подсети, кроме хоста 192.168.0.1, в интернет, но запрещены любые входящие соединения из интернет. Конфигурация ФПСУ должна содержать следующие установки:
Порт 1: Номер 1, Адрес 203.000.113.001, Маска 255.255.255.000 (24 разряда), ФПСУ не определены, Маршрутизаторы:203.000.113.002, протоколы маршрутизации выключены; флаг "Отвечать на Ping" - на усмотрение администратора.
Абоненты: Хост; Адрес 203.000.113.002; Маска 255.255.255.000 (24 разряда); режим работы ретрансляция; режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен.
Хост; Адрес Произвольный (из незаданных) режим работы ретрансляция; Доступен через маршрутизатор 203.000.113.002 режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Работа разрешена" включен.
Порт 2: Номер 2, Адрес 192.168.000.254, Маска 255.255.255.000 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть; Адрес 192.168.000.000; Маска 255.255.255.000; режим работы ретрансляция; режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен.
Правила межсетевого экрана на ФПСУ (подробности см. ниже) DNS block 192.168.0.1 Internet_All
Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее исходящие соединения с порта 2 для службы DNS (DNS-запросы по протоколу TCP/UDP с портом назначения 53); 2.Правило, запрещающее любые межсетевые исходящие соединения абонента 192.168.0.1 (в том числе будет запрещен интернет); 3.Правило, разрешающее исходящие соединения IP подсети через NAT в интернет; 4.Правило "Block other traffic", запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.
Правила МЭ: 1 DNS Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Интерфейс : port2 iface2 192.168.000.254 Назначение : Любой Служба : DNS
2 block 192.168.0.1 Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 192.168.000.001/32 192.168.000.001 Назначение : Любой Служба : Любая
3 Internet_All Общие Действие : Accept Nat : port1 iface1 203.000.113.001 Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.000.000 192.168.000.000/24 Назначение : Любой Служба : Любая
4 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая
Службы: DNS Общие Протокол : TCP/UDP Порт источника : Любой Порт назначения : 53 (Domain Name Server) |
