|
Darrera actualització: 17-11-05 |
El document
Instal·lació i configuració d'un tallafoc per separar una xarxa experimental de la xarxa del centre explica el procediment per instal·lar i configurar un tallafoc que separi una xarxa experimental (per exemple, una aula d'informàtica on no s'apliquin les polítiques del domini) de la xarxa del centre.
La instal·lació proposada configura el tallafoc de tal manera que des de la xarxa experimental només es pugui “veure” el router, per tal de permetre, com a mínim, la navegació per Internet. Inclús la resolució de noms (DNS) es fa en servidors externs. D'alguna manera, el tallafoc garanteix la navegació per Internet però impedeix qualsevol accés a la xarxa del centre des dels ordinadors de la xarxa experimental. Tot el tràfic que surt del tallafoc es dirigeix directament al router.
Alguns coordinadors ens han suggerit la conveniència de que la xarxa experimental “passi” pel proxy-catxé abans de sortir a Internet.
La modificació del tallafoc per a què els ordinadors de la xarxa experimental “passin” pel proxy-catxé no té cap dificultat tècnica. La única objecció és que minva la seguretat de la xarxa del centre ja que permet realitzar connexions a un servei de la xarxa del centre des d'ordinadors de la xarxa experimental. És un risc petit però si un alumne aconseguís accedir al proxy amb una contrasenya del domini, estaria en la mateixa situació que abans quan no hi havia tallafoc.
D'altra banda, l'accés a través del proxy té algunes avantatges inqüestionables: accelera la navegació web només pel fet d'usar el catxé i permet controlar l'accés a Internet des de la xarxa experimental amb iControl.
Les passes per modificar el tallafoc i fer que els ordinadors de l'aula experimental “passin” pel proxy són:
1. Modificar les regles del tallafoc per tal de permetre l'accés al proxy des de l'aula experimentalIniciau una sessió com a root en el tallafoc o bé connectau-vos-hi remotament amb ssh.
Editau el fitxer fwexp.tmpl:
vi /root/fwexpautocfg/tmpl/fwexp.tmplInseriu la línia següent:
iptables -A FORWARD -i eth1 -s %ip_lan_exp%/%sm_lan_exp% -o eth0 -d 172.16.x.y -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPTa la secció que controla l'accés a Internet des de la xarxa experimental.
La línia s'ha d'inserir a la posició que s'indica seguidament:
...
...
# Accés a Internet des de la xarxa experimental - permet ping i connexions als ports http, https, ftp, ssh, telnet, pop3 i smtp
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -i eth1 -s %ip_lan_exp%/%sm_lan_exp% -o eth0 -d 172.16.x.y -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
...
...L'adreça 172.16.x.y és l'adreça IP del proxy dins la xarxa el centre.
Guardau el fitxer i tornau executar fwexpautocfg:
cd /root/fwexpautocfg
./fwexpautocfg -habilita 2. Modificar la porta d'enllaç (gateway) per defecte del tallafocCal especificar com a porta d'enllaç del tallafoc l'adreça IP del proxy. Això es pot fer des de la línia de comandament. Com a root i des d'un terminal, executau:
route del default
route add default gw 172.16.x.y 3. Control de l'accés a Internet amb iControlPer controlar l'accés a Internet des de la xarxa experimental amb iControl, caldrà crear un nou origen amb una única IP (
l'adreça del tallafoc) tal com es mostra a la figura següent (172.16.x.z és l'adreça IP del tallafoc dins la xarxa del centre):