Практика №1. Межсетевые экраны

# Практика №1. Межсетевые экраны ## Выполнила Валеева Рената ## Группа ББСО-02-20 # Описание практический работы: В данной работе необходимо научиться настраивать Linux подобные межсетевые экраны (firewall), работающие на основе iptables и межсетевые экраны, основанные на freeBSD системах - pfSense FW. # Задание к практической работе: - [ ] Импортировать шаблон лабораторной работы в систему PNET-LAB (EVE-NG) и настроить оборудование в соответсвии со схемой сети - [ ] Настроить NAT на центральном Mikrotik. Это необходимо для выхода в сеть всех Linux-машинок - [ ] Настроить динамическую маршрутизацию (RIP или OSPF или ИПЗ) между роутерами для прохождения трафика, а также выхода в интернет каждого межсетевого устройства в сети - [ ] Настроить межсетевые экраны pfSense FW (используя Web интерфейс pfSense Firewall, пример настройки есть в видеозаписи занятия) - [ ] Настроить межсетевые экраны Linux FW (используя iptables, задание аналогично pfsense) - уточнение, входящий и перенаправляемый извне трафик должен блокироваться. - Входящий трафик вовнутрь инфраструктуры, а также в FW извне запрещен, при этом трафик внаружу изнутри инфраструктуры должен ходить. - Forward-трафик не должен ходить снаружи инфраструктуры офисов вовнутрь (кроме уже установленных соединений) # Настройка **Настройка mikrotik** Для начала настроим в центральной зоне OSPF. На центральном микротике с выходом в интернет также необходимо настроить NAT (ip firewall nat, routing ospf instance, routing ospf network, ip firewall nat), а также имя роутера (system identity): ![](https://hackmd.io/_uploads/rynXQ_UPn.jpg) Подобную настройку повторяем для остальных микротиков (за исключением NAT). **Настройка Cisco** На роутерах Cisco просто настраиваем интерфейсы и ospf(mpls настройки относятся к 8 лабораторной работе): ![](https://hackmd.io/_uploads/ryK07u8Dh.jpg) Настраиваем подобным образом все роутеры Cisco. После этого ospf в центральной зоне должен работать. **Настройка pfSense** На фаерволе объявляем WAN, LAN, VLAN11, VLAN12, в соответствии с топологией даем им необходимые адреса: ![](https://hackmd.io/_uploads/Skz34uUPh.jpg) Далее оставляем стандартные правила WAN и LAN, добавляем правила для VLAN11 и VLAN12 ![](https://hackmd.io/_uploads/SJOxSOIP3.jpg) ![](https://hackmd.io/_uploads/HJJXSuLP3.jpg) ![](https://hackmd.io/_uploads/rJmXrO8Dh.jpg) Проводим подобную настройку на втором pfSense не добавляя интерфейсы для vlan и, соответственно, правила, которые относятся к ним. **Настройка LinuxFW** Настраиваем имена (в /etc/hostname и /etc/hosts), доменные имена (в /etc/resolv.conf), добавляем возможность форвардинга (в /etc/sysctl.conf), настраиваем интерфейсы: ![](https://hackmd.io/_uploads/SJrI8O8P2.jpg) Далее настраиваем правила iptables: ![](https://hackmd.io/_uploads/rJbuLOUP2.jpg) Подобное настраиваем на втором фаерволе (без настроек для VLAN). **Настройка Switch** Также необходимо настроить коммутаторы для тех зон, где есть VLAN и нужен тегированный трафик: ![](https://hackmd.io/_uploads/rkK6LdIvh.jpg)