Преобразование iptables в Brocade / Vyatta
Я хотел бы переключиться с iptables на Brocade / Vyatta , но у меня проблемы с "преобразованием" правил брандмауэра .
Это мой iptables, который работает:
# Default policy to drop 'everything' but our output to internet
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Allow established connections (the responses to our outgoing traffic)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow local programs that use loopback (Unix sockets)
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
# Allow traffic between VLAN servers
iptables -A INPUT -s 89.55.42.0/28 -j ACCEPT
# Allow SSH
#iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# Allow ICMP for monitoring
iptables -A INPUT -p icmp -j ACCEPT
И это моя попытка на Brocade / Vyatta:
set security firewall name VLAN-200-IN default-action 'drop'
set security firewall name VLAN-200-IN rule 10 action 'accept'
set security firewall name VLAN-200-IN rule 10 source address '89.55.42.0/28'
set security firewall name VLAN-200-IN rule 20 action 'accept'
set security firewall name VLAN-200-IN rule 20 destination port '22'
set security firewall name VLAN-200-IN rule 20 protocol 'tcp'
set security firewall name VLAN-200-IN rule 30 action 'accept'
set security firewall name VLAN-200-IN rule 30 protocol 'icmp'
set security firewall name VLAN-200-OUT default-action 'accept'
Который подключен к моей VLAN / VIF:
interfaces {
bonding dp0bond1 {
address 77.51.23.1/23
mode lacp
vif 200 {
address 89.55.42.0/28
firewall {
in VLAN-200-IN
out VLAN-200-OUT
}
}
vrrp {
vrrp-group 2 {
...
}
}
}
...
Я тестирую и хочу защитить VLAN 200, но в моем примере я все еще могу отправлять пакеты через порт SIP 5060 на серверы за шлюзом. Что я неправильно понял?
স্বীকার করছি আমি এই ভায়াটা বক্সগুলি জানি না, তবে যদি আমরা ধরে নিই যে ভিআইএফ কনফিগারেশনটি কোনও এসভিআই (ভ্লান ইন্টারফেস) এর সাথে আচরণের অনুরূপ হয় তবে একটি সিসকো রাউটারের পরে নিয়মের অভ্যন্তরীণ দিকগুলির দিকটি রাউটারের ভিএলএএন ইন্টারফেসের দৃষ্টিভঙ্গি থেকে বিবেচনা করা উচিত ভিএলএএন নিজেই নয়।
অন্য কথায়, IN ট্র্যাফিকের জন্য রয়েছে এই ভিএলএএন-তে রাউটারটি প্রবেশ করছে, আউট ট্রাফিকের জন্য রয়েছে রাউটার ছেড়ে এই ভিএলএএন। আইএন নিয়মগুলি আপনার রাউটেড নেটওয়ার্কগুলি ভিএফ 200 ইন্টারফেসের স্টাফ থেকে রক্ষা করে। OUT বিধিগুলি আপনার নেটওয়ার্কের বাকি অংশ থেকে ভিআইএফ 200 ইন্টারফেসে স্টাফগুলি রক্ষা করে [
এখন আপনাকে দেখতে হবে যে আপনার অতি অনুমোদিত অনুমতিপ্রাপ্ত ভিএলএএন -200-আউট নীতি দিয়ে আপনি ভিআইএফ 200 ইন্টারফেসের দিকে কোনও কিছু বেরিয়ে যাওয়ার অনুমতি দিচ্ছেন towards আপনার সার্ভার যেহেতু 5060-তে এসআইপি ট্র্যাফিক সম্ভবত ইউডিপি হ'ল, এটির জন্য দ্বি-মুখী টিসিপি সংযোগ সেটআপের দরকার নেই (এটি আইএন নিয়মের দ্বারা ধরা পড়ে) এবং এর পরিবর্তে তাকে অনুমতি দেওয়া হবে [
অবশ্যই আমি এই সম্পর্কে ভুল হতে পারি নির্দিষ্ট প্ল্যাটফর্ম - এবং এটি আপনার প্রকৃত নেটওয়ার্ক টপোলজি কী তা সম্পূর্ণ সুস্পষ্ট নয়। সম্ভবত ভ্যাট্টা বক্সটি রাউটার হিসাবে কাজ করছে?