Budujemy własne laboratorium IPv6 cz. 1

Podobnie zezwolimy na akceptowanie odpowiedzi na ruch wysyłany z naszej wewnętrznej sieci

set firewall name out-in default-action 'drop'

set firewall name out-in description 'IPv4 Traffic To Internal'

set firewall name out-in rule 10 action 'accept'

set firewall name out-in rule 10 description 'Accept Established-Related'

set firewall name out-in rule 10 state established 'enable'

set firewall name out-in rule 10 state related 'enable'

Teraz zastosujemy dwie wcześniej zdefiniowane reguły na interfejsie zewnętrznym

set interfaces ethernet eth0 firewall in name 'out-in'

set interfaces ethernet eth0 firewall local name 'out-local'

Następnie ustawimy pewne standardowe globalne reguły (zezwalając na odpowiedzi na ping i wyłączając pewne niepotrzebne bądź często wykorzystywane przez włamywaczy) funkcje.

set firewall all-ping 'enable'

set firewall broadcast-ping 'disable'

set firewall conntrack-tcp-loose 'enable'

set firewall ip-src-route 'disable'

set firewall ipv6-receive-redirects 'disable'

set firewall ipv6-src-route 'disable'

set firewall log-martians 'enable'

set firewall receive-redirects 'disable'

set firewall send-redirects 'enable'

set firewall source-validation 'disable'

set firewall syn-cookies 'enable'

Kolejnym krokiem będzie konfiguracja NAT:

set service nat rule 10 outbound-interface 'eth0'

set service nat rule 10 source address '192.168.1.0/24'

set service nat rule 10 type 'masquerade'

Teraz skonfigurujemy router tak by kierował zapytania DNS do zewnętrznego serwera. Skorzystamy z OpenDNS ale może to być oczywiście dowolny serwer DNS (np. naszego dostawcy), który będzie akceptował żądania naszego routera:

set service dns forwarding cache-size '150'

set service dns forwarding listen-on 'eth1'

set service dns forwarding name-server '208.67.222.222'

set service dns forwarding name-server '208.67.220.220'

oraz serwer DNS dla samego routera:

set system name-server '208.67.222.222'

set system name-server '208.67.222.222'

Teraz już nadszedł czas na uruchomienie zewnętrznego:

set interfaces ethernet eth0 address 'dhcp'

Po zatwierdzeniu ostatniej reguły (pamiętajmy o poleceniach commit i save)

Udało nam się przygotować router działający na IPv4. W drugiej części artykułu zajmiemy się wreszcie IPv6.

Zapraszamy na drugą część laboratorium IPv6


TOP 200