Tvinge trafik gennem firewall fra intern switch

Lav VLANs så serverne der ikke skal se hinanden ikke er på samme VLAN, det tvinger dem forbi en routende enhed - i dette tilfælde din firewall (der kommer til at virke som en "router on a stick")

Wow - glem mit forslag, der er noget om at en PIX ikke kan route trafik ud af det samme kort som den modtog trafikken fra

Det finnes jo i prinsipp 3 typer firewalls:

1. Hardware firewalls som jobber i routing mode, dvs de fleste hardware firewalls.
2. Hardware firewalls som jobber i bridging mode, en litt dyrere variant.
3. "Software firewalls" som kjører som prosess på den enkelte PC.

Dersom det eventuelt skulle dreie seg om Linux servere, så ville det jo være forholdsvis enkelt å konfigurere den innebygde firewallfunksjonen Netfilter slik at de forsjellige serverne ikke kan se hverandre.

Skal man sette opp en firewall "utenfor" så blir det jo en hardware løsning.

Dersom man da skal skille ad de forskjellige serverne via firewall så må jo hver av serverene kjøre i sitt separate subnet slik at man kan route/filtrere mellom disse subnettene. Vet ikke om noen slik "mangeport" kommersiell brannmur, men det skulle absolutt være mulig å sette opp en Linux boks som skulle kunne route/filtrere mellom det antall kortplasser som man har tigjengelig, dvs 3-4-5 stykker eller det som hovedkortet tillater rent fysisk.

Så har man den muligheten å bruke en bridging firewall. Denne fungerer jo nærmest i prinsipp som en hub med innebygget brannur, bortsett at det vel bare finnes to fyfiske porter (eller gjør det det ?)

Rimelig bridging firewall: http://www.zyxel.dk

Den enkle løsningen, dersom det dreier seg om Linux, det vil jo være å sette firewall på hver enkelt server slik at de ikke kan se hverandre. Dette vil jo også eventuelt kunne settes opp "dobbelt" både i utgående og inngående filter slik at man vil måtte ha tilgang til to servere for å ta bort dette hindret. (man stenger trafikken inn fra de andre serverne og samtidig trafikken ut til de andre serverne gjennom separate firewallrules.)

Dersom du eventuelt kan nøye deg med intene LInux firewalls så kan serverne kjøre eksterne ip. (Så fremt Pixen kan håndtere dette.)

Har ellers ikke greie på Cisco Pix, bare Linux.

Og hva slags servere dreier det seg om ?

Og hva ligger ellers i uttrykket:

"Tvinge trafik gennem firewall fra intern switch"

Hvilken annen måte finnes det for å "tvinge" trafikken noen vei enn å formulere dette som rules i servernes lokale firewall rules ??

Ved at have en firewall på switchen - det kan sagtens lade sig gøre, bare ikke med en pix (så vidt jeg ved) - eller man kan lade en af serverne lege firewall men så mister du forbindelsen fra alle de andre hvis den er nede.

Men hva vildet si "å ha en firewall på switchen" ? Man kan selvfølgelig sette en firewall ba en hvilken som helst router og en hvilken som helst switch.

"man kan lade en af serverne lege firewall men så mister du forbindelsen fra alle de andre hvis den er nede"

Nei ikke hvis serverne står "ved siden av hverandre" med hver sin interne firewall, sa vil det litt avhengig av operativsystemet normalt være forholdsvis enkelt å sette dette opp slik at serverne ikke ser hverandre. For Linux så er dette "rett fram" men prinsippene er jo sånn sett like uansett operativsystem.

Men skau -> Hva mener du med "router on a stick" (ditt første innlegg.)

Har alltid pleid å sette opp Linux routerne med et kort pr subnettilkopling slik at hvert kort blir tilknyttet sitt nettverksnummer.

Mon det skulle gå ann å sette opp slik at man har for eksempel ett inngående kort (wan), og så ett på lan siden, men konfigurert med flere forkjellige ip adresser og nettverknummer på det ene lan kortet. Er det det du mener med "router on a stick" ?
(Har satt op flere ip på ett kort mange ganger, men har aldri forsøkt å dele opp i flere nettverksnummer fra det ene felles kortet. Skulle eventuelt være interessant å forsøke) Dersom dette er mulig så skulle man eventult kunne skille de forskjellige serverne fra hverandre via en Linux firewall router uten konfigurering av innvendig firewall på serverne. Ville vel egentlig tro at dette faktisk er mulig, men det måtte eventuelt forsøkes.

Wan Kort --- Invendig Kort  -- /10.0.0.1/255.255.255.0
.............................../10.0.1.1/255.255.255.0
.............................../10.0.2.1/255.255.255.0

Alle invendige maskiner kjører på samme fysiske nettverk, men de kjører opp mot hver sin "virtuelle gateway adresse" og i logisk adskilte "virtuelle nettverk" på den samme kabel og mot den samme fysiske gateway.

Skulle dette kunne la seg gjøre ? Er det dette som er "router on a stick" ?

(Hvis det i det hela tat kan la seg gjøre så vil jeg tro at jeg skulle kunne få en Linux boks (firewall/router) til å gjøre det. Skulle vært gøy å forsøke.)

Langbein>
Det er jo ikke særligt smart at skulle vedligeholde firewalls på alle noderne..
Det er heller ikke særligt smart at have mere end et netkort pr maskine.
Router on a stick forklaring
Hvis man på en switch har flere VLAN kan trafikken ikke gå fra et VLAN til VLAN - der skal en routende enhed til (eks en firewall eller en router eller andet)
det man gør er at man sætter et ben fra routeren/firewallen ned i switchen - den kan så route mellem de forskellige VLAN ved hjælp af en trunk forbindelse.
Det betyder at alt der skal gå mellem VLANs skal først igennem routeren/firewallen og dermed kan man styre hvilke VLANs der kan se hinanden.
Med denne opsætning skal hver server kun have et netkort - der skal kun installeres en firewall, og hvis to maskiner pludselig skal kunne se hinanden skal de bare i samme VLAN.

Skau ->
Beklager feil bruk av begrepet "virtuelle netverk". Ser at jeg mener om lag det motsatte av det som dette begrepet ser ut til å egentlig bety:
http://net21.ucdavis.edu/newvlan.htm

Hva betyr dette:
"det man gør er at man sætter et ben fra routeren/firewallen ned i switchen - den kan så route mellem de forskellige VLAN ved hjælp af en trunk forbindelse."

Hva betyr "ben", mener du "netverkskabel"

Skal man bruke bare en kabel og ikke to ? Man skal ikke kople hver av de to lan eller vlan segmentene til hver sin side av ruteren, eller skal de stå på den samme siden av den routeren som skal forbinde dem ? (Har plutselig fått det for meg at dette skal være mulig, selv om jeg fram til nå ment at det ikke er mulig, i hvert fall ikke praktisk mulig.)

Hva er en "trunk forbindelse" menes det med dette "bare" en alminnelig "route" som er satt opp via routeren eller betyr det noe annet.

(Holder akkurat nå på med å konfigurere en Linux box som jeg forsøker å få til noe av dette, så jeg er ganske interessert i svaret.)

Vurderer ellers å opprette et nytt spørsmål i det tilfellet at romme ikke setter pris på avsporingen.

Det står litt om vlan og trunk forbindelser her:
http://www.ucs.uwa.edu.au/web/tech/network/vlan_trunking

Mangler litt på å forstå det med den fysiske tilkoplingen ..

Langbein> Ja du skal kun bruge et kabel - en trunk er hvor man kører mange VLNAS igennem samme kabel og det at kører router på en stick betyder at den kan route mellem disse VLAN gennem et kabel - derfor "on a stick" fordi hvis du tegner det ser det ud som om at der er en router der kun har et ben (meget unormalt for en router) så det ser ud som om at der er en router på en pind.

Men i det her svar i et andet forum mener de, som jeg, at man ikke kan lave router on a stick med en pix http://www.experts-exchange.com/Networking/Broadband/Q_21077150.html

skau ->

Ok, router-on-a-stick, det dreier seg om flere forskjellige subnet på den samme fysiske kabel og det samme netverks kort:

"It appears that you have a "router-on-a-stick" with multiple subnets all on the same physical interface."

Det er altså hva det står på engelsk ..

Men på dansk ..

"Ja du skal kun bruge et kabel - en trunk er hvor man kører mange VLNAS igennem samme kabel og det at kører router på en stick betyder at den kan route mellem disse VLAN gennem et kabel - derfor "on a stick" fordi hvis du tegner det ser det ud som om at der er en router der kun har et ben (meget unormalt for en router) så det ser ud som om at der er en router på en pind."

Hvis den engelske teksten er rett så ser det vel ikke bare ut som om det er en router med et "ben" men det dreier seg vel også rent fysisk om "flere subnet på den samme fysisiske interface" eller det samme "ben" om man vil ??

Denne "kabel - en trunk er hvor man kører mange VLNAS igennem" det er da ikke et knippe med adskilte fysiske kabler, men det dreier seg om en enkelt fysisk kabel der man kjører mange samtidige subnet på den samme kabel ?!

Grunn til spørsmål: Har begynt å teste litt og har sånn sett nesten begynt å tro at det faktisk kan settes opp på en Linux firewall, der man alttså binder opp flere subnet via det samme nettverkskort og også kontrollerer eller adskiller trafikken mellom disse.

Da vil det i så fall være snakk om å route fra det ene til det annet subnet eller å skille ad trafikk på den samme fysiske kabel. (Wan/Internett på den ene siden og et knippe servre på det annet kort som kjører forskjellige subnet og som derfor ikke kan se hverandre.)

ja - Normalt er der forskellige subnets på hvert VLAN - jeg har aldrig set samme subnet spredt ud på flere VLAN.

Det er præcis det jeg snakker om du er begyndt at eksperimentere med ;o)

en trunk er et fysisk kabel hvor der kører flere VLAN (subnet om du vil) igennem - det giver mulighed for at lave firewall mellem hvert subnet.

forestil dig en switch med kun 4 porte (for enkelthedens skyld)
Port 1 = VLAN101 (subnet 172.17.1.X)
Port 2 = VLAN102 (Subnet 172.17.2.X)
Port 3 = VLAN103 (Subnet 172.17.3.X)
Port 4 = Trunk til firewall der kan route imellem de andre VLAN og til internet hvis der ikke er tale om 172.17.[1|2|3].x

Den firewall der sidder på port 4 kan enten være en firewall der kan finde ud af denne form for routning (din linux box kan garanteret) eller en router hvori man kan opsætte såkaldte conduits dvs accesslister hvor man kan bestemme hvad der er lovligt mellem de forskellige VLANS - ja jeg sagde en router - for en så basal firewall teknik kan sagtens varetages af en router - der behøves faktisk ikke en firewall - men en firewall gir mulighed for større granularitet og bedre logning.

Jeg har en ide til hvordan du måske kan teste det på en linux box.

På det interface der går fra linux til switch angiver du følgende 3 IPAddresser (det er selvf. virtuelle addresser på samme netkort (kan ses med ifconfig -a (det er dem der hedder :1 :2 osv)):
172.17.1.1
172.17.2.1
172.17.3.1
så sætter du tre maskiner i switchen og giver dem hver en af følgende addresse med tilhørende subnetmask og gateway

node1: 172.17.1.2 gw 172.17.1.1 mask 255.255.255.0
node1: 172.17.2.2 gw 172.17.2.1 mask 255.255.255.0
node1: 172.17.3.2 gw 172.17.3.1 mask 255.255.255.0

Nu burde du på din linux box kunne lege firewall via ipchains (eller hvad du ellers måtte foretrække)

Og skal noderne på internettet er det hurtigste nok at have et ekstra netkort i din linuxmaskine hooked up i din internetforbindelse og så sætte default gateway for linux boxen til dette netkort (lige som du normalt ville gøre).
Du kan eventuelt (hvis din switch understøtter det) benytte en port i switchen til internet access (give porten en Ipaddresse (den du har fået af din isp) og så sætte def gw på linuxboxen til denne port.

Det er godt nok uden brug af trunk og VLAN men det kunne måske virke alligevel (har aldrig prøvet det uden VLAN)

Takker så mye for for info.

Har faktisk aldri tenkt på dette prinippet med å kjøre flere adskilte logiske nettverk på et fysisk nettverk og så knytte det opp mot et felles "gatewaykort" før problemstillingen dukket opp i dette spørsmålet.

Jeg har nå faktisk sånn sett testet ut noenlunde det du beskriver med 3 logiske nettverk 10.0.0.0, 10.0.1.0, og 10.0.2.0 på samme kabel (og følgelig 10.0.0.1 osv som gateway adresser.)

Det fungerer faktisk så vidt jeg kan se, med linux boksen som "samlende punkt" a la "router-on-a-stick". Jeg har bare fått testet selve nettverksfunksjonen og at dette kan kjøre parallelt ved siden av hverandre, jeg har ikke testet dette, men jeg er i grunnen nå rimelig sikker på at det også vil være mulig å sette opp firewalsfunksjoner, snat og dnat, dvs routingfunksjoner ut i fra dette.

Kommer garantert til å forsøke dette "a la router-on-a-stick" prinsippet,også ut mot internet, og det vil være i et oppsett omtrent som dette spørsmålet etterlyser, men har ikke kapasitet akkurat nå.

Forsøker meg på en slags oppsummenring, slik som jeg bedømmer de opplysningene som er funnet fram:

1. Det er mulig å sette opp en alminnelig routing firewall ut i fra den Cisco firewall som står beskrevet. Hvovidt denne da bare kan jobbe i routing mode eller om den også kan kjøre i bridging mode eller hvilke ip ranger eller adresser man har tilgjengelig, det vet jeg jo ikke, så derfor så blir det ikke mulig å mene noe om hvorvidt det kan brukes globale adresser på innsiden av Cisco routeren eller om dette blir "lokale nat adresser".

2. Det er ut i fra de opplysningene som framkommer overveiende sansynlig at det ikke er mulig å bruke Cisco boksen til å hindre de forskjellige serverne å kommunisere med hverandre. (Fordi den ikke kan implementere "router-on-a-stick" prinsippet slik at det ikke blir mulig å la hver server kjøre sitt individuelle logiske subnet på innsiden av Cisco routeren.)

3. Dersom de serverne som det er snakk om er Linux maskiner så vil det rent teknisk være mulig å konfigurere den firewallfunsjonen som er innebygget i Linux kernel på en slik måte at serverne ikke kan se hverandre. Da vil man i så fall få til samtlige av de funksjonene som etterlyses i spørsmålet via Cisco routeren pluss konfigurering av eventuelle Linuxservere. Hvor vidt dette er hensiktsmessig eller ikke, det er det delte meninger om.  Etter mitt syn så er det som behøves for at Linux bokser ikke skal se hverandre ikke noe mer enn et konfigureringsskript på 4-5 linjer slik at det ikke på noen måte vil være komplissert eller ressurskrevende å sette opp dette. 4-5 linjer skulle heller ikke behøve noe vedlikehold. Windows 2003 server har firewall funksjoner som likner litt (men ikke mye). Det vil sansynligvis være mulig på en nokså enkel måte å hindre serverne å se hverandre ved hjelp av Windows 2003 sin innebygde firewall. (Og her er det ikke snakk om noe script men et par avkrysningsbokser.) Alstså vil man sanssynligvis kunne få tingene til å virke eksakt slik som det spørres etter i spørsmålet, ved å bruke Cisco routeren pluss de standard firewallfunksjonene som ligger i Linux og i Windows 2003 server. (Husker rett nok mindre detaljer for Win 2003 sin innebygde firewall, men vil tro det er rett.)

4. Firewall med Wan, DMZ og Lan port, altså 3 porter er jo alminnelig hyllevare. Det samme kan også bygges ved hjelp av en PC og Linux. Rent teknisk hvis man bare har plass til kortene så er det ikke noe problem å utvide en slik Linux løsning til DMZ1, DMZ2 osv. Lan porten kan også gå ut og erstattes med en DMZ4 os, osv.

Ved hjelp av en slik "mangeport løsning" og en ekstra Linux boks enten i serie med Ciscoen eller til erstatning for Ciscoen, så vil man helt sikkert kunne ivareta alle de nødvendige funksjonene for det ønskede oppsettet. Linux boksen vil imidlertid jobbe ut i fra er routing prinsipp, slik at man i praksis vil ende opp med interne lokale adresser på serverne.

5. Det forholder seg sansynligvis også slik at det er mulig å konfigurere en Linux firewall boks ut i fra et "router-on-a-stick" prinsipp, men det man oppnår med dette er egentlig ikke noe annet enn å spare noen nettverkskort. (Med mindre det dreier seg om så mange servere at det ikke finnes nok kortplasser.)

6. Dersom det dreier seg om Linux servere så vil det også være mulig å kople dem direkte opp mot internett bare med konfigurering av Linux sin innebyde firewall som eneste filtreringsenhet. I så fall så kan Serverne få globale adresser og man kan også konfigurere slik at serverne ikke ser hverandre, dersom man ser noen hensikt i dette (alle andre kan jo se dem). (Har satt opp noen slike, ingen ulykker så langt.)

Konlusjon:

Dersom det allerede er bestemt at man vil bruke Cisco routeren, så velger man operativsystemer med innebygget firewall, for eksempel Windows 2003 eller Linux.
Man lager en enkel konfigurering på serverne slik at de ikke ser hverandre og hele kravspesifikasjonen (slik som den står i spørsmålet) er på plass. Sansynligvis så medfører bruken av Cisco routern rent praktisk at serverne ikke kan få globale adresser.

Dersom globale adresser på serverne er svært viktig (som det kan være) så finnes følgende alternativer:

1. Cisco routeren går ut, man kopler serverne direkte opp mot nett på basis av servernes innebyggede firewall, typisk Linux.

2. Man erstatter router firewallen med en bridging Hardware firewall. I tillegg så brukes også servernes innebygde firewall.

3. Man skaffer seg en range av ip adresser eller i hvert fall adresser på begge sider av et globalt subnett slik at man kan ha globale ip adresser på begge sider av for eksempel Cisco routeren.

Enig ??

Enig hvis man selv har styr over serverne ... hvis man kun har ansvar for netværkskomponenter dur løsningen med lokale firewalls ikke.

Takker ! Forsøker både å lære meg disse tingene og å holde meg oppdatert :)

Jeg takker for de fine spørgsmål og svar... hvis i lige begge smider et savr, så skal i få point.

værsgo

Takker :)