Home Travels Photoalbum Library
Главная стр.
Путешествия
Библиотека
Фотоальбом
@rich62.ru
Home » Библиотека » Network » Конфигурация CP FW-1 c NAT
Вернуться в «Библиотеку» Простая конфигурация CheckPoint FW-1 (v.4.1) с использованием NAT

NAT (Network Address Translation) - часть Security Policy, набор правил, определяющий порядок преобразования адресов.

Данная конфигурация CheckPoint FW-1 (v.4.1) предназначена для :

  • организации доступа пользователей внутренней intranet-сети 192.168.1.0 (RFC-1918 Class "C") к внешней сети ;
  • предоставления общего доступа к Web-серверу, "спрятанному" во внутренней сети .

  1. Схема сети :
                       ___________ 
                 hme2 |           | hme1
    +-----------------|  CP FW-1  |-------------------- Router 
    |     192.168.1.1 |___________| 10.10.10.1    10.10.10.254
    | 
    +---- Web-сервер (192.168.1.2) 
    | 
    +---- Рабочие станции (192.168.1.3 - 192.168.1.253)
  2. Объекты на Firewall'е :

      Intra_net    Network 192.168.1.0/24  
      Int_hosts    Диапазон IP-адресов 192.168.1.2 - 192.168.1.253  
      Www_int    Workstation (host) 192.168.1.2  
      Www_ext    Workstation (host) 10.10.10.2  
      Int_valid    Group: Intra_net, Www_ext  
      Firewall    Workstation (gateway) 10.10.10.1  

  3. Правила Security Policy :

      No.     Source     Destination     Service     Action     Tracking  
      1.     Any     Www_ext     http, https     accept     Long  
      2.     Intra_net     Any     Any     accept     Long  
      3.     Any     Any     Any     drop     Long  

  4. Конфигурирование NAT :

      No.     Original     Translated  
      Source     Destination     Service     Source     Destination     Service  
      1.     Any     Www_ext     Any     Original     Www_int (S)     Original  
      2.     Int_hosts     Any     Any     Firewall (H)     Original     Original  

    Примечание: по правилу No.2 все исходящие пакеты из внутренней сети (192.168.1.0) во внешнюю, будут иметь Source IP - 10.10.10.1

  5. Настройка маршрутизации :
    • На роутере 10.10.10.254 прописать маршрут, в соответствии с которым пакеты, предназначенные для 10.10.10.2, направлять через 10.10.10.1.
    • CheckPoint FW-1 (v.4.1) вначале маршрутизирует пакет, а затем проводит адресную трансляцию. (!!!) Отсюда, - пакет никогда не сможет попасть во внутреннюю сеть к Web-серверу, если не будет добавлен соответствующий маршрут в таблицу маршрутизации Firewall'а :

      • для Solaris, Linux:   route add 10.10.10.2 192.168.1.2 1
        Данную строчку надо добавить в соответствующий rc-файл, например в /etc/rc3.d/S96routeadd .
      • для MS Windows:   route add 10.10.10.2 192.168.1.2 -p
        Опция -p указывает, что данный маршрут должен быть прописан в реестре и активизироваться после каждого запуска системы .

  6. Настройка anti-spoofing'а :

    Если на firewall сконфигурирован anti-spoofing (что должно быть правилом !), т.е. поле "Valid Addresses" на каждом из интерфейсов установлено отличным от "Any", то необходимо изменить конфигурацию anti-spoofing'а следующим образом :

      Interface     IP Address     Valid Address  
      hme1     10.10.10.1     Others  
      hme2     192.168.1.1     Specific: Int_valid  

  7. Переустановить Security Policy.

О замеченных неточностях прошу сообщить мне.

©rich62.ru,  2001-2011