|
ivana.d
Gost
|
 |
« poslato: Petak, 07. Oktobar 2005. 08:14:37 » |
|
Kao sto vidite iz naslova radi se o hardverskom firewall-u, iz porodice ZyXEL, tacnije radi se o ZyXEL 5 firewall-u, pa bih voleo da razmenim iskustva sa ljudima koji su vec koristili neki ovalkav firewall. Treba da konifgurisem WAN konekciju, dva VPN kanala i nekoliko LAN konekcija, pa bih voleo da prodiskutujem o tome.
Hvala.
|
|
|
|
|
Sačuvana
|
|
|
|
|
acim
|
|
« Odgovor #1 poslato: Petak, 07. Oktobar 2005. 09:47:38 » |
|
Ja sam jednom setovao ZyWALL 2, ako su uopšte slični 2-ka i 5-ica.
|
|
|
|
|
Sačuvana
|
Boban Aćimović, urednik linux.rs
|
|
|
|
ivana.d
Gost
|
|
« Odgovor #2 poslato: Petak, 07. Oktobar 2005. 13:36:03 » |
|
Jesu slicni su. Kod ZyXEL 5 cu morati da podesim WAN konekciju, LAN parametre, DMZ zonu i moracu da podesim VPN konekciju sa najmanje dva tunela. Svaka pomoc je dobrodosla.
Hvala
|
|
|
|
|
Sačuvana
|
|
|
|
|
acim
|
|
« Odgovor #3 poslato: Petak, 07. Oktobar 2005. 15:09:14 » |
|
Ne vidim neki problem da podesiš WAN i LAN, kao ni DMZ. Što se tiče VPN tunela, da li će oni samo prolaziti kroz ovaj firewall ili će biti inicirani sa njega ka nekoj drugoj mreži? U drugom threadu si pisao o VPN konekciji između nekih mašina, pa pretpostavljam da će te konekcije samo prolaziti kroz ovaj firewall. U tom slučaju ne vidim neki veći problem.
|
|
|
|
|
Sačuvana
|
Boban Aćimović, urednik linux.rs
|
|
|
|
ivana.d
Gost
|
|
« Odgovor #4 poslato: Nedelja, 09. Oktobar 2005. 12:35:39 » |
|
Prvo sto cu morati da uradim je da jedan ulazni LAN port konfigurisem sa IP adresom privatne mreze koja treba da koristi taj tunel. Nisam bas najbolje razumeo deo:
" dali ce oni samo prolaziti kroz ovaj firewall ili ce biti inicirani sa njega".
Potrebni mi je da uspostavim tunel izmedju dve privatne mreze. Na jednoj strani ce biti Cisco ruter 815, a na drugoj moj firewall. Iza Cisco rutera se nalaze dve privatne mreze, a iza firewalla jedna privatna mreza. Potrebno je da uspostavim komunikaciju izmedju tih privatnih mreza. Naravno, komunikacija ce ici preko Interneta. Zato mislim da su mi potrebna dva tunela. Koliko sam procitao iz uputstva za ZyXEL 5, moracu jedan ulazni LAN port da konigurisem sa IP adresom iz moje privatne mreze koja se nalazi iza firewalla. Za taj port cu vezati moju privatnu mrezu. Ono sto je meni potrebno je da uspostavim tunel izmedju te privatne mreze i privatnih mreza iza Cisco rutera.
E sada se vracamo na ono dali ce samo prolaziti kroz firewall, ili ce biti inicirani sa njega. Ja mislim da ce samo prolaziti kroz njega, ali sada mi malo nije jasno, pa ako mozes da mi napises jos nesto o ovome. Ovo mi je prvi put da koristim hardverski firewall. Uspeo sam sve ovo da simuliram uz pomoc cetiri racunara, gde sam imao dva gateway-a a dva racunara su predstavljala privatne mreze, i uspeo sam da uspostavim tunnel i da nateram dve privatne mreze da komuniciraju. Za ovo sam koristiio software Openswan, ali sada treba umesto racunara da upotrebim hardversku firewall ZyXEL 5. Voleo bih da mi napises jos nesto o ovome.
Hvala
|
|
|
|
|
Sačuvana
|
|
|
|
|
ivana.d
Gost
|
|
« Odgovor #5 poslato: Nedelja, 09. Oktobar 2005. 13:29:06 » |
|
Nesto vrlo vazno sam zaboraviio. Ja cu morati da administriram taj firewall preko Interneta, odnosno nalazi se na udaljenoj mrezi i nije mi dostupan preko LAN-a. Administrator udaljene mreze ce konfigurisati WAN port na tom firewall-u, i ja cu morati da koristim taj port za dalju administraciju. Voleo bih ako mozes da mi napises nesto o tome. Mislio sam da pridjem preko Internet browsera " http://javna_IP_togWANporta", ali nisam siguran da je to korektno i dali su potrebna dodatna podesavanja na firewallu. Svi parametri na firewallu ce biti difoltne vrednosti kada bude postavljen u udaljenoj mrezi, sem WAN porta koii ce odraditi administrator. Nisam siguran dali treba da on odradi jos neka podesavanja da mi omoguci pristup preko WAN porta. Voleo bih da mi napises nesto o tome. Hvala |
|
|
|
|
Sačuvana
|
|
|
|
|
acim
|
|
« Odgovor #6 poslato: Nedelja, 09. Oktobar 2005. 16:53:07 » |
|
ZyWALL 2 po defaultu ima Web admin interfejs na portu 80 kome se može prići samo iz LAN-a. Pametno je da pomeriš ovaj interfejs na neki drugi port, bilo koji. Takođe se mogu podesiti IP adrese sa kojih se može prići admin portu, ali čak i kada sam podesio svoju IP adresu i pokušao da pristupim preko Interneta WAN adresi, to nije funkcionisalo. Verovatno negde u firewall podešavanjima treba dodatno otvoriti pristup ovom portu sa željene IP adrese, ali ja to tada nisam uradio, već sam preko SSH pristupio jednoj Linux mašini iznutra, zatim sam odatle telnetom pristupio ZyWALL-u (dakle iz LAN-a), isključio firewall na njemu, odradio potrebna podešavanja kroz Web interfejs za nekoliko minuta i ponovo uključio firewall. Ako nećeš često vršiti podešavanja, ovo je sasvim prihvatljiv pristup, a u suprotnom se potrudi da ti pristup admin portu radi i sa Interneta. Naravno, možda je kod ZyWALL-a 5 nešto drugačija situacija. Neko će reći zašto ne vršiti kompletnu administraciju firewalla kroz telnet, ali nažalost na ovaj način nije moguće podesiti sve opcije firewalla, telnet admin interfejs sadrži veoma limitiran set podešavanja.
|
|
|
|
|
Sačuvana
|
Boban Aćimović, urednik linux.rs
|
|
|
|
ivana.d
Gost
|
|
« Odgovor #7 poslato: Nedelja, 09. Oktobar 2005. 18:55:45 » |
|
Hvala na ovako brzom odgovoru. U medjuvremenu sam procitao nesto u User guiede-u o ovoj temi. Ili cu ja uraditi nesto slicno, pa preko neke druge linux masine prici firewallu, ali to mora biti samo privremeno resenje. Procitao sam da mogu da napravim svoja firewall pravila i to cu verovatno da uradim, ali imam problem jer nemam stalnu javnu IP adresu sa koje bi pristupao ovom firewallu, vec to radim sa modema. Zato cu verovatno napraviti neko pravilo za WAN to LAN pristup, da TCP/IP protokol pristupa na nekom posebnom portu.
Bio bih zahvalan za neki savet ili neko iskustvo na ovu temu.
Unapred hvala.
|
|
|
|
|
Sačuvana
|
|
|
|
|
acim
|
|
« Odgovor #8 poslato: Ponedeljak, 10. Oktobar 2005. 00:14:06 » |
|
Na nekoj Linux mašini unutar firewalla možeš da napraviš port redirection ka Web admin port na ovom ZyWALL-u. Dakle, radi se o DNAT pravilu, a na ZyWALL-u je potrebno da obezbediš pristup sa te IP adrese.
|
|
|
|
|
Sačuvana
|
Boban Aćimović, urednik linux.rs
|
|
|
|
ivana.d
Gost
|
|
« Odgovor #9 poslato: Četvrtak, 20. Oktobar 2005. 14:03:02 » |
|
Zdravo,
Uredjaj je postavljen, i sada treba da uspostavim tunel sa njihovim Cisco ruterom. Neplanirano se pojavio problem jer administrator tog rutera insistira da dodeli port na ruteru preko kojeg ja treba da uspostavim tunell. Ja sam konfigurisao ZyXEL ali to sa portovima mi malo nije jasno.
Kada smo probali da on spusti komunikaciju na nivo IP adrese, uspostavio sam tunele bez problema. Medjutim, kada on podigne komunikaciju na nivo porta, ja ne mogu da konfigurisem nijedan tunel. Ne znam kako radi Cisco ruter, ali mislim da definisanje portova za uspostavljanje tunela nije neophodno. Definisanje portova je bitno u firewall-u za odredjeni saobracaj sa odredjene IP adrese. Uspostavljanje tunela i firewall mislim da nemaju veze. Onog momenta kada ja uspostavim tunel, firewall stupa na scenu. Tako bar ja vidim stvari. Ako bi mi neko dao dodatnja objasnjenja bio bih zahvalan, narocito sto se radi o Cisco ruteru, o kojem ja neznam puno. U stvari, naknadno sam saznao da se radi o Cisco firewall-u, "Cisco pix firewall 515". Neznam puno o ovom uredjaju, ali koliko sam razumeo administratora, on mora da u access listi specificira odredjeni port. Nadam se da neko moze malo vise da mi kaze o ovome.
Sa druge strane, mozda bi ja mogao na ZyXEL-u da konfigurisem portove na remote gateway-u, ali ne znam kako? Bio bih vrlo zahvalan za bilo kakvu pomoc.
Unapred hvala.
|
|
|
|
|
Sačuvana
|
|
|
|
|
