זהו, הגעתי למאמר האחרון בסדרה של Cloud Solutions, בסדרה הדגמתי כיצד לבנות ענן בעזרת מערכות Open Source בלבד שנותנות מענה בכל שכבה ,משלב האחסון, הוירטואליזציה ואיזון עומסים, השלב האחרון הוא התקשורת עם העולם החיצון ואבטחת המידע, קיימות המון מערכות הפעלה לניהול ראוטרים עם Firewall מבוססות Linux שמאפשרות לשמור על הסביבה מסכנות מבחוץ.
Setup
שלב ההתקנה שכרגיל חוזר על עצמו נוריד את ה ISO מהאתר, נצרוב ונתחיל לרוץ...
חלון פתיחה מרשים |
יצירת הדיסק |
העתקת הקבצים |
אפשרות לעשות שחזור של המערכת עם הגדרות ישנות |
Network Settings
ניתן שם למכונה ואח"כ נבחר את סוג הפוליסה, יש 3 תבניות מוכנות מראש:
- Open - כל הבקשות החוצה יוצאות ללא הפרעות.
- Half-Open - חלק מהבקשות יוצאות החוצה, בקשות מסוכנות נופלות.
- Closed - אף בקשה לא יוצאת החוצה ויש לפתוח ידנית.
שם למכונה |
סוג הפוליסה |
לאחר מכן נפתח תפריט שמגדירים בו את התקשורת, תחילה נבחר ב Network Configuration Type שמאפשר לבחור את התצורה של המערכת, הדגש במקרה הזה הוא כמובן על כמות הממשקים (Interfaces) הפיזיים שיש במכונה למשל נוכל להוסיף Wifi כ Access Point או DMZ.
תמיד ניתן להיכנס בעזרת הפקודה setup ב Console |
בסיום נחזור לתפריט הראשי ונבחר באפשרות Card Assignments, נגדיר את החיבור בין ה Interface לכרטיסי רשת.
כפי שניתן לראות קיימים 2 ממשקים שמחולקים לצבעים:
- Green - הממשק של ה Deep Web מאחורי Smooth Wall.
- Red - הממשק החיצוני, לצורך הדוגמה הוא מתחבר לנתב אחר ויוצא ממנו לאינטרנט.
חלוקה לצבעים דרך נוחה לזכור... |
לאחר מכן נגדיר את ממשק האדום שזו הרגל שמתחברת ל Router חיצוני, ניתן להגדיר אותה כ Static או לקבל כתובת ישירות מהספק או מ DHCP.
שימו לב! - במקרה שבחרנו להשתמש בכתובת סטטית יש להגדיר Dns / Gateway.
בסיום נפתח התפריט המרכזי שדרכו מנהלים את ה Router רוב האפשרויות ניתנות לשינוי בסביבת ה Web, הדבר האחרון שנשאר הוא לתת סיסמאת ניהול ולהיכנס לממשק בדפדפן.
Web Interface
ניכנס לכתובת של ה Default Gateway בפורט 81 לממשק ניהול.קצת יותר נוח |
לצורך הדוגמה הפעלתי שרת Fedora עם Apache והגדרתי כתובת סטטית (10.10.10.5) עם Default Gateway לממשק הירוק (10.10.10.254).
נחזור לממשק ה Web ונלחץ על Networking - Incoming ונגדיר את השירות שברצוננו לחשוף:
על מנת להגדיר את החוק יש לבחור בכתובת החיצונית שהולכת להתחבר לשרת הפנימי במקרה שלי בחרתי לפתוח את השרות עבור כל Class C אבל ניתן להגדיר כתובת ספציפית , בתגית outgoing ניתן לקבוע את החוקים מה Deep Web החוצה.
שימו לב!
- בגלל שהכתובת של הממשק האדום מוגדרת כ DHCP היא עלולה להשתנות ולהשפיע על החוקים.
- הדוגמה מוצגת על שרתים וירטואלים לכן אין חשיבות לכרטיסים, במקרה שהכרטיסים פיזיים יש לוודא שהם מחוברים לממשקים הנכונים בעזרת אימות ה Mac Address.
סיכום
SmoothWall זה לא ה Firewall הכי מתקדם אבל הוא עושה את העבודה, הוא מגיע בגרסה 64\x86 כך שניתן להתקין אותו על כל מחשב שאין בו שימוש ולהפוך אותו ל Router עצבני, הוא מכיל בתוכו אפשרויות נוספות כמו VPN ו IPS אבל את זה אני משאיר לכם, אפשר לומר שהשלמנו את החוליה האחרונה בענן ולא שלמנו שקל על אף רישיון והכל בזכות Linux ו Open Source.
מבנה הענן הסופי |
מי רצה ענן ולא קיבל?
אין תגובות:
הוסף רשומת תגובה