# Практика №1. Межсетевые экраны Студент: Кожемякин Данила Иванович ББСО-02-20 # Описание практический работы: В данной работе необходимо научиться настраивать Linux подобные межсетевые экраны (firewall), работающие на основе iptables и межсетевые экраны, основанные на freeBSD системах - pfSense FW. # Задание к практической работе: 1. Импортировать шаблон лабораторной работы в систему EVE-NG и настроить оборудование в соответсвии со схемой сети 1. Настроить NAT на центральном Mikrotik. Это необходимо для выхода в сеть всех Linux-машинок 1. Настроить динамическую маршрутизацию между роутерами для прохождения трафика, а также выхода в интернет каждого межсетевого устройства в сети 1. Настроить межсетевые экраны Linux FW (используя iptables, задание аналогично pfsense) 1. Настроить межсетевые экраны pfSense FW (используя Web интерфейс pfSense Firewall, задание есть в видеозаписи) # Исполнение задания ### 1. Настройка центрального mikrotik(NAT + RIP ROUTING) Начнем с настройки центрального микротика. Для выполнения задания было решено использовать в качестве протокола маршрутизации RIP. Также был использован протокол динамической трансляции ip адресов NAT с режимом работы MASQUERADE. Также настраиваем DNS сервер для трансляции доменных имен в ip-адреса ``` /ip address add address=10.10.20.9/24 comment=To-R2 interface=ether2 network=10.10.20.0 add address=10.10.60.9/24 comment=To-R3 interface=ether3 network=10.10.60.0 add address=172.20.0.111/24 comment="To ExtraNet" interface=ether1 network=\ 172.20.0.0 add address=1.1.1.1 comment=Loopback interface=loopback network=1.1.1.1 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=172.20.0.10 /routing rip set distribute-default=always /routing rip network add network=10.10.20.0/24 add network=10.10.60.0/24 /system identity ``` Аналогично были настроены маршрутизаторы MIKROTIK в плане объявления интерфейсов и объявления RIP протокола ### 2. Настройка маршрутизаторов CISCO. На маршрутизаторах cisco были объявлены интерфейсы и был использован протокол маршрутизации RIP. Пример настройки маршрутизатора R-2 ``` interface Ethernet0/0 ip address 10.10.10.2 255.255.255.0 ! interface Ethernet0/1 ip address 10.10.20.2 255.255.255.0 ! interface Ethernet0/2 ip address 10.10.40.2 255.255.255.0 ! interface Ethernet0/3 no ip address shutdown ! router rip version 2 network 10.0.0.0 ! ``` Аналогично были настроены другие маршрутизаторы CISCO. ### 3.Настройка FW PfSense-FW-3(172.16.3.0/24). В данном фаерволле был объявлен WAN интерфейс с ip адресом(192.168.3.3/24), lan интерфейс с адресом(172.16.3.254/24) и два VLAN интерфейса с адресами(172.16.11.254/24, 172.16.12.254/24). Также данный фаервол исполняет роль DHCP сервера.  В данном фаерволле были настроены правила на возможность передачи пакетов до самого фверволла. Правила на WAN:  Правила на LAN:  Правила на VLAN11, VLAN12.   Аналогично был настроен fw PfSense-FW-4(172.16.4.0/24) без создания влан правил ### 4. Настройка свитча(172.16.3.0/24) В данном свиче были настроены access интерфейсы на вланы и транк интерфейсы на LAN и PfSense ``` interface Ethernet0/0 switchport trunk encapsulation dot1q switchport mode trunk ! interface Ethernet0/1 switchport access vlan 12 switchport mode access ! interface Ethernet0/2 switchport access vlan 11 switchport mode access ! interface Ethernet0/3 switchport trunk encapsulation dot1q switchport mode trunk ! ``` Аналогично был настроен свитч с FW linux(172.16.1.0/24) ### 5. Настройка linux FW(172.16.1.0/24) Начнем с объявления интерфейсов на этом устройстве.  Задаем правила для iptables  Аналогичным образом был настроен linux FW(172.16.2.0/254)