8. Настройка межсетевого экрана

Задача:

8. Настройка межсетевого экрана

• Реализуйте функционал межсетевого экрана на HQ-RTR и BR-RTR.
• Запретите ICMP трафик на пограничные маршрутизаторы из внешних сетей. Трафик из внутренних сетей обоих офисов должен быть разрешен.
• Обеспечьте доступ по SSH к серверу BR-SRV из внешних сетей. В качестве внешнего порта используйте 65000 на маршрутизаторе BR-RTR.
• Заблокируйте доступ к youtube и bittorrent на двух маршрутизаторах.

Вариант реализации:

HQ-RTR:

на базе EcoRouter:

• Для фильтрации трафика на уровнях L3 в EcoRouterOS применяем списки доступа filter-map
  • создаём filter-map с именем ICMP и номером 10 -  в котором будем запрещать icmp, когда в качестве адреса источника выступает любой адрес (any), а в качестве назначения - внешний адрес HQ-RTR (4.4.4.4);
  • так же создаём в filter-map с именем ICMP - номер 20 - в котором будем разрешать всё остальное

configure terminal
  filter-map ipv4 ICMP 10
    match icmp any host 4.4.4.4
    set discard
    exit
  filter-map ipv4 ICMP 20
    description "ANY"
    match any any any
    set accept
    exit
  exit
wr mem

• Проверяем:

• Выполняем привязку созданной filter-map - к внешнему интерфейсу (WAN) - указывая направление при "входе" в интерфейс (in):

configure terminal
  interface WAN
  set filter-map in ICMP
  end
wr mem

• Проверяем доступность внешнего интрефейса из локальной сети офиса HQ:

• Проверяем доступность из внешних сетей:

BR-RTR:

на базе vESR:

• Т.к. на внешнем интерфейсе не отключался firewall (ip firewall disable) - то запрет icmp трафика автоматически выполняется из внешних сетей:

• Трафик из внутренних сетей обоих офисов должен быть разрешен:

DC-RTR:

на базе EcoRouter:

• Аналогично HQ-RTR:
  • Результат:

BR-RTR:

на базе vESR:

• Обеспечиваем доступ по SSH к серверу BR-SRV из внешних сетей:
  • Создадим профили IP-адресов и портов, которые потребуются для настройки правил Firewall и правил DNAT

configure
  object-group network EXTERNAL_IP
  ip address 5.5.5.5
  exit
  object-group service EXTERNAL_SSH_PORT
  port 65000
  exit
  object-group network BR_SRV_IP
  ip address 192.168.200.65
  exit

• • в режиме конфигурирования функции DNAT и создадим пул адресов и портов назначения, в которые будут транслироваться адреса пакетов, поступающие на адрес 5.5.5.5 из внешней сети:

nat destination
  pool BR_SRV_SSH
    ip address 192.168.200.65
    ip port 22
    exit

• • Создадим набор правил «DNAT», в соответствии с которыми будет производиться трансляция адресов. 
    • В атрибутах набора укажем, что правила применяются только для пакетов, пришедших из зоны «public».
    • Набор правил  ключает в себя требования соответствия данных по адресу и порту назначения (match destination-address, match destination-port) и по протоколу.
    • Кроме этого в наборе задано действие, применяемое к данным, удовлетворяющим всем  равилам (action destination-nat). Набор правил вводится в действие командой «enable».

ruleset DNAT
  from zone public
    rule 1
      match destination-address EXTERNAL_IP
      match protocol tcp
      match destination-port EXTERNAL_SSH_PORT
      action destination-nat pool BR_SRV_SSH
      enable
       exit
    exit
  exit

• • Создадит зону "SRV" и поместим в неё подинтерфейс для серверной подсети:

security zone SRV
  exit
interface gi1/0/1.10
  security-zone SRV
  exit

• • Для пропуска трафика, идущего из зоны «public» в «SRV», создадим соответствующую пару зон. 
    • Пропускать следует только трафик с адресом назначения, соответствующим заданному в профиле «BR_SRV_IP» и прошедший преобразование DNAT.

security zone-pair public SRV
  rule 1
    match destination-address BR_SRV_IP
    match destination-nat
    action permit
    enable
    exit
  exit
exit
commit
confirm

• Проверяем:
  • пытаемся с HQ-SRV1 - подключиться по SSH на порт 65000 через внешний адрес BR-RTR:

BR-RTR:

на базе vESR:

• Запрещаем доступ к youtube и bittorrent:
  • Создадим набор URL, по которым будет осуществляться фильтрация.
    • Настроим прокси-фильтр и укажем действия для созданного набора URL:

configure
  object-group url BLOCK
    url http://youtube.com/
    url http://www.youtube.com/
    url https://youtube.com/
    url http://www.youtube.com/
    url http://bittorrent.com/
    url https://www.bittorrent.com/
    url https://bittorrent.com/
    url https://www.bittorrent.com/
    exit

• • Создаем профиль:

ip http profile BLOCK
  default action permit
  urls local BLOCK action deny
  exit
exit
commit
confirm

• • Включим проксирование на интерфейсеы:

interface gi1/0/1.10
  ip http proxy BLOCK
  ip https proxy BLOCK
  exit
interface gi1/0/1.20
  ip http proxy BLOCK
  ip https proxy BLOCK
  exit
interface gi1/0/1.99
  ip http proxy BLOCK
  ip https proxy BLOCK
  exit
exit
commit
confirm

• Проверяем:
  • На BR-CLI - для проверки временно назначен статический адрес для доступа в Интернет:

• • Переходим на сайт:

• • Аналогично и для youtube

HQ-RTR:

на базе EcoRouter:

• Запрещаем доступ к youtube и bittorrent: