Page tree
Skip to end of metadata
Go to start of metadata

Przygotowanie

Laboratorium w oparciu o materiały Firewall iptables.

Przed przystąpieniem do zadań pobierz xonicman/vagrant-linux-labs i uruchom środowisko xm-lab-firewall. Po uruchomieniu środowiska masz do dyspozycji 5 maszyn:

  • firewall
  • dmzserver (host w strefie DMZ)
  • lanserver (host w strefie LAN)
  • lanclient (host w strefie LAN)
  • internet (host w strefie Internet)


Aktualny schemat połączeń sieciowych jest dostępny na każdej maszynie w pliku /lab.box/schema.txt (poniższy może być nieaktualny):

root@firewall:~# cat /lab.box/schema.txt 
+----------------------------------------------------------------------------------------------------+
|                                                                                                    |
|                                   Vagrant / VirtualBox Hypervisor                                  |
| vbox NAT network 10.0.x.0/24                                                                       |
+-------+---------------------------------+--------------------------------+-----------+---------+---+
        |                                 |                                |           |         |
        |                                 |                                |           |         |
        |                                 |                                +           |         |
        |                                 |                               eth0         |         |
        |                                 |                            +-----------+   |         |
        |                                 |                            | lanserver |   |         |
        +                                 +                            |           |   |         |
       eth0                              eth0                  +--+eth1|  IP:31    |   |         |
+----------------+                   +----------+              |       |           |   |         |
|    internet    |                   | firewall |              |       +-----------+   |         |
|                |   10.101.99.x/24  |          |              |                       |         |
|     IP:99      |eth3+--------+eth3 |  IP:111  |eth1+---------+-------+               +         |
|                |                   |          |      10.101.33.x/24  |              eth0       |
+----------------+                   +----------+                      |      +-----------+      |
                                         eth2                          |      | lanclient |      |
                                          +                            |      |           |      |
                                          |                            +-+eth1|  IP:32    |      |
                                          |10.101.66.x/24                     |           |      |
                                          |                                   +-----------+      |
                                          +                                                      |
                                         eth2                                                    |
                                     +-----------+                                               |
 github.com/                         | dmzserver |                                               |
   xonicman/vagrant-linux-labs       |           |                                               |
   /xm-lab-firewall                  |   IP:61   |eth0+------------------------------------------+
                                     |           |
 Created with asciiflow.com          |           |
                                     +-----------+





Lab

Przed rozpoczęciem każdego ze scenariuszy

  1. Przywrócić ustawienia domyślne (Firewall otwarty):

    root@firewall:~# iptables-restore < /lab.box/default-fw-rules 
    root@firewall:~# iptables -L -v -n
    Chain INPUT (policy ACCEPT 47 packets, 2708 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain OUTPUT (policy ACCEPT 24 packets, 1824 bytes)
     pkts bytes target     prot opt in     out     source               destination         
  2.  Przetestuj łączność pomiędzy wszystkimi hostami.


Scenariusz 1

  1. Hosty w strefach Internet i DMZ mogą się pingować nawzajem.
  2. Hosty w strefie LAN nie mogą pingować hostów w strefach Internet i DMZ.

Scenariusz 2

  1. Hosty w strefach Internet i DMZ mogą się pingować nawzajem.
  2. Hosty ze strefy LAN mogą pingować wszystkie strefy.
  3. Hosty ze strefy Internet nie mogą pingować strefy LAN. Podpowiedź - możesz wykorzystać "-p icmp --icmp-type echo-request".

Scenariusz 3

  1. Przy pomocy nc - netcat (użyj nc - serwer jako demon) zasymuluj na trzech hostach - lanserver,  dmzserver oraz internet 

    1. usługę SMTP (otwarty port TCP 25);
    2. usługę HTTP (otwarty port TCP 80);
    3. usługę telnet (otwarty port TCP 23);
    4. usługę echo (otwarty port UDP 7).
  2. Skonfiguruj firewall przy założeniach:
    1. Hosty ze strefy Internet mogą korzystać jedynie z usług SMTP i HTTP w strefie DMZ (ping oraz dostęp do innych usług zablokowane).
    2. Hosty ze strefy Internet nie mają żadnego dostępu do usług w sieci LAN. Nie mogą też wykonać ping do LAN.
    3. Host lanclient ma dostęp do wszystkich usług w strefie DMZ oraz Internet poza usługą telnet (nie może wykonać telnet na żaden host w LAN i DMZ).
    4. Host lanserver ma dostęp do wszystkich usług w strefie DMZ oraz Internet.
    5. Hosty ze strefy DMZ:
      1.  mają dostęp do wszystkich usług w strefie Internet;
      2. mogą korzystać z HTTP na lanserver;
      3. nie mogę korzystać z pozostałych usług w LAN.

Scenariusz 4

  1. Przy pomocy nc - netcat (użyj nc - serwer jako demon) zasymuluj na dwóch hostach - dmzserver oraz internet  usługę echo (otwarty port UDP 7).

  2. Skonfiguruj Firewall tak, aby 
    1. lanclient, jeśli będzie chciał się połączyć z usługą echo na hoście internet to firewall przekieruje jego ruch na host dmzserver na tą samą usługę;
    2. lanserver, jeśli będzie chciał się połączyć z portem 777 UDP na hoście internet to firewall przekieruje jego ruch na ten sam host, ale na port 7 (wykorzystaj -j REDIRECT --to-port).


  • No labels
Write a comment…