Budujemy własne laboratorium IPv6 cz. 1
- Michał Witkowski,
- Matt Prigge,
- 18.05.2011, godz. 08:45
Podobnie zezwolimy na akceptowanie odpowiedzi na ruch wysyłany z naszej wewnętrznej sieci
set firewall name out-in default-action 'drop'
set firewall name out-in description 'IPv4 Traffic To Internal'
set firewall name out-in rule 10 action 'accept'
set firewall name out-in rule 10 description 'Accept Established-Related'
set firewall name out-in rule 10 state established 'enable'
set firewall name out-in rule 10 state related 'enable'
Teraz zastosujemy dwie wcześniej zdefiniowane reguły na interfejsie zewnętrznym
set interfaces ethernet eth0 firewall in name 'out-in'
set interfaces ethernet eth0 firewall local name 'out-local'
Następnie ustawimy pewne standardowe globalne reguły (zezwalając na odpowiedzi na ping i wyłączając pewne niepotrzebne bądź często wykorzystywane przez włamywaczy) funkcje.
set firewall all-ping 'enable'
set firewall broadcast-ping 'disable'
set firewall conntrack-tcp-loose 'enable'
set firewall ip-src-route 'disable'
set firewall ipv6-receive-redirects 'disable'
set firewall ipv6-src-route 'disable'
set firewall log-martians 'enable'
set firewall receive-redirects 'disable'
set firewall send-redirects 'enable'
set firewall source-validation 'disable'
set firewall syn-cookies 'enable'
Kolejnym krokiem będzie konfiguracja NAT:
set service nat rule 10 outbound-interface 'eth0'
set service nat rule 10 source address '192.168.1.0/24'
set service nat rule 10 type 'masquerade'
Teraz skonfigurujemy router tak by kierował zapytania DNS do zewnętrznego serwera. Skorzystamy z OpenDNS ale może to być oczywiście dowolny serwer DNS (np. naszego dostawcy), który będzie akceptował żądania naszego routera:
set service dns forwarding cache-size '150'
set service dns forwarding listen-on 'eth1'
set service dns forwarding name-server '208.67.222.222'
set service dns forwarding name-server '208.67.220.220'
oraz serwer DNS dla samego routera:
set system name-server '208.67.222.222'
set system name-server '208.67.222.222'
Teraz już nadszedł czas na uruchomienie zewnętrznego:
set interfaces ethernet eth0 address 'dhcp'
Po zatwierdzeniu ostatniej reguły (pamiętajmy o poleceniach commit i save)
Udało nam się przygotować router działający na IPv4. W drugiej części artykułu zajmiemy się wreszcie IPv6.
Zobacz również:
Zapraszamy na drugą część laboratorium IPv6