Вопрос: Что такое межсетевой экран — файрвол (Firewall) и как его настраивать у Интернет-маршрутизаторов серии DI-XXX?
Ответ:
Файрвол — или, по-другому «фильтр пакетов» — это дополнительная возможность интернет- маршрутизаторов серии DI-XXX , предназначенная для ограничения прохождения пакетов IP-протокола через интернет- маршрутизатор. Похожие функции реализуются на закладке «Filter» , но только для ограничения исходящего трафика. Чаще всего дополнительно настраивать файрвол нет необходимости, так как имеющиеся в его настройках правила «по умолчанию» обеспечивают нужные функции защиты. Также имеющийся у интернет- маршрутизаторов данной серии сервис NAT обеспечивает хороший уровень защищенности.
Но иногда требуется более гибкое конфигурирование ограничений. Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию «Virtual Server») только компьютерам из определенной подсети (например, подсеть филиала).
Для настройки правил файрвола сперва нужно настроить подключение к интернет-маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу интернет-маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Advanced -> Firewall .
(далее шаги настройки и снимки экрана приводятся на примере DI-604HV F/W V3.06 , для других устройств все настраивается аналогичным образом).
Увидим следующую страничку (рис.1)
I) В списке видим правило, созданное автоматически в момент конфигурирования виртуального сервера. Три других правила, расположенных ниже, — правила «по умолчанию» и удаляться или редактироваться не могут. Для решения нашей задачи (ограничение списка компьютеров, имеющих доступ к web-серверу) нужно нажать значок редактирования, расположенный справа в соответствующей правилу строке. Картинка измениться на следующую (рис.2):
- После нажатия кнопки редактирования все параметры выбранного правила отобразились в полях вверху страницы. При этом все они серого цвета и недоступны для редактирования. Это говорит о том, что редактировать эти параметры нужно на вкладке «Virtual Server» , где создавался web-сервер и в результате чего автоматически сгенерировалось данное правило для разрешения доступа к нему. Единственные поля, доступные для редактирования — выделенные красным прямоугольником, причем в поле «IP Start» первоначально стоял символ » * «, а поле «IP End» было пустым. Это означало, что ограничений по IP-адресу источника нет. Для введения ограничения согласно нашей задачи отредактируем эти поля, указав в них диапазон адресов компьютеров, которым разрешено иметь доступ к web-серверу. В качестве примера разрешено иметь доступ только 6 компьютерам с адресами 10.20.30.40-45. Всем остальным в доступе будет отказано.
- Нажимаем кнопку «Apply» — после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка. После этого необходимо перезагрузить устройство по питанию.
Поздравляем, настройка завершена.
Проверить правильность настроек можно, обратившись из Интернет по адресу http://10.10.10.10, где 10.10.10.10 — заменить на внешний адрес вашего маршрутизатора (адрес WAN-порта). При обращении с разрешенных адресов будет видна начальная страничка web-сервера, при обращении с других адресов доступа к web-серверу не будет.
Пример настройки межсетевого экрана D-Link DFL-860E
В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения
Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.
Последовательность действий:
- Создание адресной книги
- Конфигурирование интерфейсов
- Настройка маршрутизации
- Настройка правил безопасности
- Конфигурирование VPN сервера
- Настройка маршрутизации VPN
- Настройка правил безопасности
- Устройство сети
Сеть состоит из внутренней сети LAN, Сети DMZ
Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.
Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.
Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.
Последовательность шагов настройки роутера D-Link DFL-860E
2 Создание адресной книги D-Link DFL-860E
В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером
3 Конфигурирование интерфейсов D-Link DFL-860E
Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер
Настраиваем интерфейсы. Заходим во вкладку Interfaces–Ethernet
Wan1 подключен к Корбине. Адрес получает автоматически.
Вкладка Hardware по умолчанию
Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов
WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге
Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.
Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.
Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU
С метрикой надо поподробнее:
Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.
Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100
Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение
4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E
Смотрим основную таблицу:
Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100
Маршрут в интернет соединение Корбины L2TP с метрикой 110
Запасной маршрут в ПТН с метрикой 120
Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины
Создаем для этого еще одну таблицу маршрутизации forward_routing
В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН
А теперь самое интересное
Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации
Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации
В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main
Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing
Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2
В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2
Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back
Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.
5 Настройка правил безопасности D-Link DFL-860E
Правило 2 разрешает пинг маршрутизатора из локальной сети
Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть
Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть
Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса
Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет
Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины
Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет
Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера
6 Конфигурирование VPN сервера D-Link DFL-860E
Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.
Заходим в Authentication Objects
Создаем новый Preshared key
Заходим в interfaces/IPSec и создаем новый интерфейс
Вкладка General:
Вкладка Authentication. Выбираем Preshared key который мы создали ранее
Во вкладке Routing отмечаем автоматическое добавление маршрута
Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:
Заходим в User Authentication/ Local User Databases и создаем базу для удаленных пользователей:
После чего создам самих удаленных пользователей
Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее
Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.
7 Настройка маршрутизации для VPN . D-Link DFL-860E
При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно
8 Настройка правил безопасности D-Link DFL-860E
Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ
При желании можно правила ужесточить и назначить только специфические сервисы
Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»
Контакты на сайте www.globaladmin.ru
Любое использование материалов данной статьи разрешаются с указанием автора и ссылкой на источник www.globaladmin.ru
Версия PDF: Настройка DFL D-Link c двумя провайдерами
Аппаратная ревизия: A1
Версия прошивки: 1.05
Правила брандмауэра можно использовать для разрешения или запрещения трафика, проходящего через маршрутизатор. Вы можете указать один порт, используя верхнее поле ввода или диапазон портов, используя оба поля ввода.
DMZ означает «демилитаризованная зона». DMZ позволяет компьютеру за брандмауэром маршрутизатора, быть доступным для Интернет-трафика. Обычно DMZ используется для доступа из Интернет к веб-серверу или FTP серверу, находящиеся в локальной сети маршрутизатора.
Пункт «Enable SPI» разрешает динамическую фильтрацию пакетов.
SPI помогает предотвратить кибератаки путем отслеживания состояния более чем за одну сессию.
Если у вас есть компьютер, который не может работать должным образом с интернет-приложениями из-за DIR-300, то вы можете позволить компьютеру имеют неограниченный доступ в Интернет. Введите IP-адрес этого компьютера как DMZ (демилитаризованная зона) хост с неограниченным доступом в Интернет. Добавление клиента в DMZ может подвергнуть компьютер различным угрозам безопасности, используйте эту опцию в качестве последнего средства.
Пункт «Enable DMZ Host» активирует функцию DMZ и позволяет ввести IP-адрес компьютера (поле «DMZ IP Address»), находящегося в локальной сети, который будет виден из Интернет, при обращении к вашему внешнему статическому IP-адресу (предоставляется провайдером Интернет).
«Name» — имя правила брандмауэра.
«Action» — выбор запрета или разрешения трафика.
«Interface Source» — выбор начальной точки трафика, который должен быть разрешен или запрещен от интерфейса локальной (LAN) или глобальной сети (WAN). Значения: [LAN], [WAN].
«Interface Dest» — выбор конечной точки трафика, который должен быть разрешен или запрещен, по прибытию на интерфейс локальной (LAN) или глобальной сети (WAN). Значения: [LAN], [WAN].
«IP Address» — указывается один IP-адрес источник или получателя, путем ввода IP в верхнем поле или ввести диапазон IP-адресов, введя первые IP диапазона в верхнем поле и последний IP диапазона в нижнем.
«Protocol» — тип трафика. Значения: [UDP], [TCP], [Both] – использование [UDP] и [TCP].
«Port Range» — введите номер порта в обоих полях, чтобы указать один порт или введите первые порт диапазона в верхнем поле и последний порт диапазона в нижний, чтобы указать диапазон портов.
«Schedule» — можно выбрать/создать расписание.
Максимальное количество правил – 50.
Большое количество правил брандмауэра уменьшает производительность маршрутизатора.
Из недавнего наболевшего — опишу сегодня настройку firewall на маршрутизаторе D-Link DIR-100. Проблема была такова: с клиентской сети сыпался наружу паразитный трафик(всему виной вирус) на порт 445 по адресам вида 192.168.0.0/16 На примере фильтрации паразитного трафика из локальной сети на порт 445 я опишу принцип настройка firewall в этом чудо-устройстве.
Для настройки firewall в D-Link DIR-100 необходимо перейти на закладку ADVANCED->FIREWALL & DMZ и в разделе FIREWALL RULES присутим к настройке правил.
Первое правильно(flood) будет фильтровать(Action — Deny) из source диапазона 192.168.0.1-192.168.0.254 пакеты по протоколу UDP на порт 445 для конечной сети(dest) 1.0.0.1-254.255.255.254 всега(Always On)
Второе правильно(flood2) будет фильтровать(Action — Deny) из source диапазона 192.168.0.1-192.168.0.254 пакеты по протоколу TCP на порт 445 для конечной сети(dest) 1.0.0.1-254.255.255.254 всега(Always On)
После внесения правил(их может быть до 50 на устройстве D-Link DIR-100), необходимо нажать кнопку Save Settings
В данном случае относительно диапазона пошел что называется в лоб — 1.0.0.1-254.255.255.254, ну а локальная сеть получается вида 192.168.0.0/24, что соотвествует диапазону 192.168.0.1-192.168.0.254
Защищаем свою сеть и защищаем пуличную сеть от своей сети!
Сейчас компьютерные сети все глубже проникают в нашу повседневную жизнь. Организация и настройка домашней сети перестала быть уделом энтузиастов и по сути уже является необходимостью. Сделать возможным одновременный выход в Интернет с нескольких домашних компьютеров и обеспечить безопасность от угроз – насущная проблема, которую теперь приходится решать домашним пользователям. В данном материале мы кратко расскажем о принципах сетевой безопасности на примере файервола D-Link DFL-260.
Что есть файервол?
Было бы неправильно не сказать пару слов об этом классе устройств в целом. Файервол, или по-другому – межсетевой экран, представляет собой шлюз между внутренней и внешней сетью. Таким образом, в его задачи входит обработка запросов от внутренних пользователей и блокирование всех угроз и попыток совершить вторжение извне. По принципу своей работы файервол практически полностью идентичен домашнему интернет-маршрутизатору или интернет-шлюзу. Однако отличия кроются в большей производительности и расширенной функциональности, позволяющих быстро и гибко управлять сетевым трафиком.
D-Link DFL-260 – яркий представитель из разряда недорогих межсетевых экранов. Он оснащен одним портом WAN (для связи с внешним миром), четырьмя портами LAN (для подключения домашних компьютеров) и портом DMZ (DeMilitarized Zone), который пригодится, в случае если ты захочешь поднимать дома сервер, к которому будет необходимо разрешить доступ из Интернета.
Интерфейс настройки
Одним из основных достоинств файервола D-Link является интуитивно понятный веб-интерфейс настройки. Несмотря на простоту, это мощный инструмент для использования всех возможностей данного устройства. В основе лежит идея создания новых объектов/переменных, которые интегрируются в общую среду. Скажем, ты создаешь объект «wan_ip» – IP-адрес на WAN-интерфейсе, задаешь значение и после этого можешь использовать данную переменную при создании правил фильтрации/маршрутизации и др. Таким образом, не обязательно помнить, какой именно IP-адрес задан на интерфейсе (ведь он может выдаваться динамически с DHCP-сервера), значение переменной автоматически будет использоваться всеми функциями. Такой подход применяется не только к значениям IP-адресов. Фактически это основной принцип выстраивания всех настроек данного файервола.
Базовые настройки
Прежде чем переходить к опциям безопасности, в двух словах приведем базовые настройки, необходимые для функционирования устройства в сети. По умолчанию файервол имеет IP-адрес 192.168.1.1, а веб-интерфейс откликается только через SSL HTTP соединение, то есть в адресной строке браузера следует вводить https://192.168.1.1/. Дефолтные логин и пароль – admin/admin. На выбор присутствуют несколько языков интерфейса, в числе которых есть и русский. Таким образом, незнающим иностранных языков не придется копаться в словаре в процессе конфигурирования устройства.
Прежде всего, следует задать параметры интерфейсов. Для этого необходимо перейти в закладку «Интп0фейсы», а затем – в «Ethernet». Там присутствует три интерфейса: LAN, WAN и DMZ. Если с первыми двумя все более-менее ясно, то DMZ в данном случае – это не только физический порт, но и полноценный интерфейс, на который распространяются все функции маршрутизации данного файервола. Для WAN-интерфейса доступно задание статических или динамических настроек IP. В случае же необходимости создания дополнительных соединений (как то PPPoE, PPTP или L2TP) следует перейти к разделу «PPPoE» или «Клиенты PPTP/L2TP», добавить новый субинтерфейс, в настройках которого его следует привязать к физическому WAN-интерфейсу. Кстати, если адрес VPN-сервера требуется задать в виде URL, то в соответствующем пункте настроек необходимо его прописать в виде «dns:domain_name».
Для автоматической выдачи сетевых настроек домашним компьютерам следует поднять DHCP-сервер. Его настройка осуществляется в разделе «Система – DHCP». В общих настройках задается, на каком интерфейсе сервер должен ожидать запросов, а в дополнительных опциях прописываются, собственно, значения параметров, которые сервер будет выдавать клиентам: адреса DNS-серверов, основной шлюз и WINS-серверы.
Правила фильтрации
Теперь перейдем к функциям обеспечения безопасности. Первым пунктом у нас будет создание правил разрешения/запрета того или иного трафика. Сразу хочется отметить, что для обеспечения максимальной безопасности стоит отталкиваться от общего принципа «разрешения только того, что необходимо, и запрещения всего остального».
Итак, перед нами появляется список всех созданных правил. На каждое правило распространяется одно из возможных действий: сбросить (drop), отклонить (reject), быстрое перенаправление (fast forward), разрешить (allow), транслировать (SAT или NAT) или мультиплексировать (Multiplex SAT). Разберемся по порядку. Первые два действия отличаются тем, что в одном случае файервол просто игнорирует запрос (так называемый невидимый режим), а во втором отправляет пакет о закрытии IP-сессии. В целях безопасности предпочтительнее использовать первый вариант, так как во втором варианте файервол явно подтверждает свое присутствие в сети. Все остальные варианты действий – разрешающие. Fast Forward и Allow разрешают маршрутизирование трафика, однако не обеспечивают трансляции адресов, которая необходима для доступа из внутренней сети в Интернет. Таким образом, для всех разрешающих правил из LAN в WAN необходимо выбирать NAT. Он, как известно, позволяет «пользоваться» одним внешним IP-адресом нескольким внутренним. Если же компьютер один или провайдер выдает по контракту несколько внешних IP-адресов, можно каждому домашнему компьютеру сопоставить один внешний IP-адрес. Делается это с помощью SAT, который позволяет транслировать все номера портов с внутреннего IP на внешний и в обратную сторону. Последний вариант – мультиплексирование SAT – пригодится только для переадресации широковещательных (multicast) потоков во внутреннюю сеть.
Что касается отличий разрешающих действий быстрого перенаправления от обычного, то они кроются в принципе работы файервола. Они бывают stateless и statefull. В первом случае каждый пакет рассматривается как отдельный элемент, и, соответственно, принимается решение о его разрешении/запрете вне зависимости от последующих действий запрашивающей стороны. Statefull-фильтры следят за всей сессией передачи данных, поэтапно принимая решение о продолжении соединения. Разумеется, в последнем случае достигается большая защита от нежелательных «гостей». Так вот, быстрое перенаправление (fast forward) отключает функции statefull-инспекции для данного правила.
Для более наглядного объяснения создадим три правила: разрешающее запросы из локальной сети в Интернет, разрешающее доступ к торрент-клиенту из Интернета и запрещающее все остальное.
Выбираем действие NAT, так как понадобится трансляция многих внутренних адресов на один внешний, в качестве сервиса выбираем пункт «all_services», источник интерфейс и сеть – lan/lannet, назначение – wan/all-nets. Это правило разрешает и транслирует запросы из внутренней сети любых сервисов. Но, например, такие программы, как торрент-клиент, создают не только исходящие соединения, поэтому для более эффективной работы они должны иметь возможность приема входящих. Для этого создадим еще одно разрешающее правило. Но предварительно потребуется создать сервис с номером порта, соответствующим таковому в настройках торрент-программы.
Переходим в раздел «Объекты – Сервисы» и добавляем новый сервис с именем torrent. Он использует протокол TCP, а номер внешнего и внутреннего портов, как уже говорилось, должен соответствовать тому, что задано в программе клиенте. Допустим, в нашем случае это 14875. Возвращаемся к разделу «Правила – IP-правила». Создаем новое правило со следующими настройками: действие – SAT, сервис – torrent, источник – wan/allnets, назначение – lan/внутренний IP-адрес компьютера с torrent-клиентом. Не нажимая, сразу переходим к закладке SAT, где выбираем «перевести IP-адрес назначения» и указываем IP-адрес компьютера с torrent-клиентом и порт 14875. Теперь торрент-клиент сможет принимать входящие соединения.
Ну и последнее, но, пожалуй, самое важное правило запрета всего остального. Его параметры таковы: действие – drop, сервис – all_services, источник – any/all-nets и назначение так же any/all-nets. Кстати стоит заметить, что первые или находящиеся в списке выше правила имеют больший приоритет, чем нижние. Иными словами, перед принятием решения файервол начинает просматривать список сверху (начиная с первого правила) до тех пор, пока не найдет то, которое соответствует всем критериям поиска. Поэтому если поместить правило запрета на все первым в списке, файервол будет запрещать все действия вне зависимости от того, какие еще правила присутствуют в настройках фильтрации.
VPN-туннелирование
Этот раздел пригодится тем, кто собирается использовать данный файервол для связи удаленных офисов. Итак, есть задача обеспечить конфиденциальную связь между двумя территориально удаленными точками. Очевидно, что придется использовать общедоступные каналы связи, это либо Интернет, либо телефонные сети. С точки зрения дешевизны и скорости предпочтительнее использовать Интернет. А чтобы обеспечить безопасность и конфиденциальность передаваемых данных, организовывается защищенный VPN-туннель. Чаще всего используются IPSec-туннели, хотя в ряде случаев можно использовать протоколы PPTP/L2TP. Также сейчас активно популяризируется применение SSL-туннелей, однако поскольку D-Link DFL-260 не поддерживает работу с таковыми, поговорим о первых трех.
IPSec
Для начала необходимо создать ключ, который будет использоваться для аутентификации. Переходим в раздел «Объекты – Объекты аутентификации» и создаем новый ключ (IPSecKey). Значение можно ввести в виде фразы (набора символов) или в виде шестнадцатеричного ключа. Также возможно создать ключ случайным образом. Далее открываем закладку раздела «Интерфейсы – IPSec» и добавляем новый туннель. В общих настройках выбираем локальную сеть – ту, которая является внутренней для данного файервола, удаленную сеть – ту, которая будет внутренней для удаленного файервола, удаленный конечный узел – внешний IP-адрес удаленного файервола, режим инкапсуляции – туннель, алгоритмы IKE/IPSec – high. Переходим в закладку «Аутентификация», выбираем использование предустановленного ключа и указываем его имя. Далее в закладке «Маршрутизация» ставим галочку около пункта «Динамически добавить маршрут в удаленную сеть, когда туннель установлен». Жмем [ok] – туннель создан. Последнее, что потребуется сделать на данном файерволе, – создать правило, разрешающее трафик из локальной сети в туннель и обратно. Тут надо отметить, что трансляция NAT в данном случае не потребуется, так как маршрут до удаленной сети будет добавлен в таблицу маршрутизации автоматически, и файерволы с обоих концов будут знать о существовании друг друга и путей следования трафика. Таким образом, следует просто разрешить двусторонний обмен внутри туннеля. На удаленном маршрутизаторе следует произвести аналогичные действия по настройке. Разница будет только в параметрах адресов локальной и удаленной сетей и конечного узла.
PPTP/L2TP
В случае с протоколами PPTP/L2TP схема организации туннеля несколько иная. С одной стороны настраивается серверная часть, которая ждет «звонков» от клиентов. Соответственно, в первую очередь нужно создать пользовательскую базу данных. Создаем таковую в закладке «Аутентификация пользователей – Локальные базы данных пользователей». Далее создаем в базе пользователя (или нескольких). Все что потребуется указать, это имя/логин и пароль.
Далее создаем собственно PPTP-сервер. Переходим к закладке «Интерфейсы – Серверы PPTP/L2TP». В общих настройках указываем имя сервера (произвольно), внутренний IP-адрес (адрес сервера внутри туннеля, например, 172.16.1.1), протокол туннелирования – PPTP, фильтр интерфейсов WAN и IP-адрес сервера – wan_ip. Далее в закладке параметров PPP указываем пул выдаваемых клиентам IP-адресов (например, 172.16.1.10-172.16.1.20). Теперь файервол будет ожидать соединений на внешнем (WAN) интерфейсе, а после корректной авторизации открывать туннель и выдавать пользователям IP-адреса из указанного пула.
Но это еще не все. Переходим в раздел «Аутентификация пользователей – Правила аутентификации пользователей» и создаем новое правило. В качестве агента указываем PPP, источник аутентификации – Local (при наличии в сети централизованного RADIUS-сервера можно использовать для авторизации его базу), интерфейс – pptp_server, IP-адрес источника – все сети, адрес терминатора – адрес PPTP-сервера на внешнем интерфейсе (wan_ip). В закладке «Опции аутентификации» указываем имя локальной пользовательской базы, а в опциях PPP-агента – допустимые протоколы авторизации. Остается только настроить правило, разрешающее обмен информацией между PPTP-клиентами и ресурсами внутренней сети.
Настройка со стороны клиента куда более прозрачна. В разделе «Интерфейсы – Клиенты PPTP/L2TP» создаем нового клиента. В настройках указываем используемый протокол – PPTP, удаленный конечный узел – внешний IP-адрес PPTP-сервера, удаленная сеть – либо только внутренняя сеть, находящаяся за PPTP-сервером, либо все сети, если доступ в Интернет будет обеспечен также через PPTP-сервер, логин и пароль для авторизации. Также нужно не забыть создать правило для разрешения трафика через PPTP-соединение.
Поскольку L2TP-туннель использует для шифрования алгоритмы IPSec, его настройка содержит этапы, схожие с конфигурацией как IPSec-туннеля, так и PPTP. Для начала создается PSK-ключ для авторизации (как и в случае с IPSec), далее пользовательская база и логины (по аналогии с настройкой PPTP-сервера). Далее создаем IPSec-туннель в разделе «Интерфейсы – IPSec». Локальной сетью для него по-прежнему будет являться внутренняя сеть, удаленной сетью может быть как внутренняя сеть удаленного файервола, так и любой IP-адрес (например, при необходимости обеспечения доступа сотрудников компании, где бы они ни находились). Выбираем режим инкапсуляции – транспорт, поскольку IPSec будет отвечать только за шифрование трафика внутри L2TP-туннеля, и, собственно, алгоритмы шифрования. Также не забудь указать используемый ключ в закладке «Аутентификация» и поставить галочку «Динамически добавить маршрут в удаленную сеть, когда туннель установлен» в разделе «Маршрутизация». Далее создаем L2TP-сервер в разделе «Интерфейсы – Серверы PPTP/L2TP». Указываем внутренний IP-адрес сервера в туннеле (например, 172.16.2.1), протокол – L2TP, фильтр интерфейсов – l2tp_ipsec (соединения будут устанавливаться через транспорт IPSec) и внешний IP-адрес сервера (wan_ip). Далее в параметрах PPP указываем допустимые виды шифрования MPPE и задаем пул IP-адресов, которые будут выдаваться клиентам (например, 172.16.2.10-172.16.2.20). Туннель создан.
Остается по аналогии настройкой PPTP создавать правило аутентификации пользователей и добавить правило разрешения прохождения трафика внутри туннеля.
В результате
Итак, интерфейсы сконфигурированы, туннели подняты, настроены аутентификация пользователей и правила фильтрации – можно приступать к работе. Как видишь, небольшая коробочка под названием файервол способна на множество полезных функций по обеспечению безопасного информационного обмена. К слову, рассмотренный в примере файервол D-Link DFL-260 имеет более дешевый аналог – DFL-210, который при сохранении почти всех тех же функций и производительности продается по куда более низкой цене. Таким образом, персональный файерволинг может быть рекомендован к применению не только в офисах, но и в домашних условиях.