Chào cả nhà,

Bên cơ quan có một WAN rất lớn, nay muốn tự câu thêm vào một subnet nữa, đã phân tích kỹ để không loop khi câu vào rồi. Bây giờ làm sao cấu hình cho các chú ngồi trên có dùng [debug ip] cũng không phát hiện ra một ký sinh trùng trên nó.

Các bác làm ơn cho xin gợi ý, để em cấu hình sao cho hide được ở mức tốt nhất, ít nhất hai gợi ý nhé!

Cảm ơn nhiều,
Diendan@

anh diendan,

em có hai câu hỏi dành cho anh:

1. Có phải anh muốn cấm lệnh

#debug ip packet?

Nếu anh muốn cấm người dùng nào đó dùng lệnh trên, anh chỉ đơn giản không cho người đó biết enable password.

2. Nếu ý anh muốn hỏi là làm thế nào để cho dù có dùng lệnh

debug ip packets thì cũng không phát hiện được "ký sinh trùng".

->Thế nào là ký sinh trùng? Ý anh muốn nói đến các chương trình backdoor?


thân mến,

Hi sinhvienngheo,

Mình hỏi theo ý 2 đấy. Ký sinh trùng ở đây hiểu theo nghĩa có sự tồn tại của các subnet ngoài sự quản lý, mà vẫn có khả năng xử dụng các tài nguyên của mạng.

---|WAN|---|Router|-----|Our Subnet|{Cái này được quản lý với IP hạn chế}
........................................>||
..............................>|Cheat Router|---|Lease Line|----|Cheat Router|----|Subnet câu ngoài|

Đã tính dùng NAT qua một IP thật, nhưng muốn các cao thủ cho ý kiến trước.


Cảm ơn nhiều!
diendan@

anh diendan,

Anh muốn cheat-router với các cheat-subnet có thể đi ra mạng WAN? Hay anh muốn các cheat-router với các cheat-subnet có thể đi vào mạng Internal? tài nguyên mạng mà anh định đề câp, là trong mạng Internal hay mạng WAN hay cả hai?

Cám ơn anh rất nhiều,

Hi sinhvienngheo,

Nếu mình dùng IP trong subnet được cấp loại [có thể ra ngoài] cho Cheat Router thì cheat subnet có thể lên Wan còn không thì chỉ có thể kết nối đến subnet (internal )của mình.

Cảm ơn nhiều,

Filter các Routing đi chăng ?

Hoặc bundle nó dưới 1 dạng summarize, nếu trên Router chỉ có Entry là Sumarry thì các bố ở trên có là thánh củng không biết ở dưới dùng gì đâu.

Nếu sợ bị capture thì NAT qua, đổi Header là xong thôi.

diendan,

cheat-router của anh cần phải có một IP trong {OUR_SUBNET}. Nếu {OUR_SUBNET} của anh là pool của các IP thực, anh phải có một IP thực.

Nếu câu trả lời của anh là yes, cấu hình các routers trên rất dễ.

Thân mến,

Chào các bạn,

Sinhvienngheo, Mình trả lời là Yes. Trong pool có một vài IPs được phép ra ngoài còn lại bị filter qua access list. :)

Cảm ơn Yuna, dùng NAT tại cheat router thì mình có thể đi từ subnet của mình đến cheat subnet được không? Cái mình cần là cấm bọn trên Wan thôi.


Cảm ơn nhiều,

Chào các bạn,

Sinhvienngheo, Mình trả lời là Yes. Trong pool có một vài IPs được phép ra ngoài còn lại bị filter qua access list. :)

Cảm ơn Yuna, dùng NAT tại cheat router thì mình có thể đi từ subnet của mình đến cheat subnet được không? Cái mình cần là cấm bọn trên Wan thôi.


Cảm ơn nhiều,

diendan,

Đây là một scenario cấu hình NAT và routing bình thường.

1. Traffic từ cheat-subnet đến <OUR-SUBNET> sẽ không bị NATed
2. Mọi traffic còn lại sẽ bị NAT.

Diendan vẫn phải học cách cấu hình routing (dùng static route/dynamic route) cho mạng <OUR_SUBNET> và CHEAT-SUBNET.

Xem thêm về cách cấu hình NAT ở đây:

VI. Cơ bản về NAT

Vị trí server và virtual Host trong cấu hình NAT
http://www.vnpro.org/forum/viewtopic.php?t=2591

Firewall và NAT
http://www.vnpro.org/forum/viewtopic.php?t=1816

Cơ bản về NAT
http://www.vnpro.org/forum/viewtopic.php?t=2025

Static route for NAT
http://www.vnpro.org/forum/viewtopic.php?t=1616

NAT and PING
http://www.vnpro.org/forum/viewtopic.php?t=1314

NAT and Subinterface
http://www.vnpro.org/forum/viewtopic.php?t=1178

Nếu diendan cần một sample config, vui lòng ghi các địa chỉ các các subnets lên diễn đàn.
Mình pretty sure là TGA và SVN có thể nhắm mắt cho ra một config (và không chạy ;-))

Chúc vui vẻ luôn luôn,

http://www.vnpro.org/forum/files/Example.JPG

Hi Anh Minh,

Bây giờ không cần sample với NAT nữa, các bác gợi ý cho là tốt lắm rồi, bây giờ các bác có thể check giúp em xem cái này có chạy được không????

Nó là sản phẩm NAT của bác đấy, cảm ơn anh/TGA đã gợi ý, bây giờ sẽ tiếp tục study tiếp.


Cảm ơn anh nhiều,

ip name-server 203.162.9.1
ip name-server 203.162.9.2
!
!
!
!
interface Ethernet0/0
description Private LAN
ip address 192.168.7.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip accounting access-violations
ip nat inside
no ip mroute-cache
ip policy route-map proxy-redirect
no cdp enable
!
interface Serial0/0
description 128K link to Netnam
bandwidth 128
ip unnumbered Ethernet0/1
ip access-group 100 in
ip access-group 101 out
no ip redirects
no ip proxy-arp
ip accounting access-violations
ip nat outside
no ip mroute-cache
down-when-looped
no cdp enable
!
interface Ethernet0/1
description This is belong to DMZ Area.
ip address 203.162.9.3 255.255.255.248
no ip redirects
no ip proxy-arp
ip accounting access-violations
no ip mroute-cache
no cdp enable
!
ip nat inside source list 1 interface Ethernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
no ip http server
!
logging facility local1
logging source-interface Ethernet0/1
logging 203.162.9.1
access-list 1 permit 192.168.7.0 0.0.0.255
access-list 100 permit icmp any 203.162.9.0 0.0.0.7
access-list 100 permit tcp any 203.162.9.0 0.0.0.7 established
access-list 100 permit tcp any 203.162.9.0 0.0.0.7 gt 1023
access-list 100 permit udp any 203.162.9.0 0.0.0.7 gt 1023
access-list 100 permit tcp any 203.162.9.1 0.0.0.0 eq domain
access-list 100 permit udp any 203.162.9.1 0.0.0.0 eq domain
access-list 100 permit tcp any 203.162.9.2 0.0.0.0 eq domain
access-list 100 permit udp any 203.162.9.2 0.0.0.0 eq domain
access-list 100 permit tcp any 203.162.9.1 0.0.0.0 eq smtp
access-list 100 permit tcp any 203.162.9.1 0.0.0.0 eq pop3
access-list 100 permit tcp any 203.162.9.2 0.0.0.0 eq www
access-list 100 deny tcp any 203.162.9.0 0.0.0.7 eq 2049 log
access-list 100 deny udp any 203.162.9.0 0.0.0.7 eq 2049 log
access-list 100 deny tcp any 203.162.9.0 0.0.0.7 eq 6000 log
access-list 100 deny ip any any log
access-list 101 permit ip 203.162.9.0 0.0.0.7 any
access-list 101 deny ip any any log
access-list 102 permit ip 203.162.9.0 0.0.0.7 any
access-list 102 permit ip 192.168.7.0 0.0.0.255 any
access-list 102 deny ip any any log
access-list 110 deny tcp any any neq www
access-list 110 deny tcp host 203.162.9.1 any
access-list 110 permit tcp any any
no cdp run
route-map proxy-redirect permit 10
match ip address 110
set ip next-hop 203.162.9.1
!

***Redirect to Proxy Port
1. Tạo file redirect.rc script (#chmod +x redirect.rc):

#!/bin/bash
PROXY="localhost:8080"
OTHER_PROXY=””
INTERNAL_LAN="192.168.7.0/24"
IPTABLES="/sbin/iptables"

if [ "$PROXY" != "" ] ; then
for subnet in ${INTERNAL_LAN} ; do
echo "$PROXY" | {
IFS=':' read host port
if [ "$host" = "localhost" ] || [ "$host" = "127.0.0.1" ] ; then
${IPTABLES} -t nat -A PREROUTING -s ${subnet} -p tcp --dport 80 -j REDIRECT --to-port ${port}
echo -n "${subnet}:PROXY "
else
${IPTABLES} -t nat -A PREROUTING -s ! ${host} -p tcp --dport 80 -j DNAT --to-destination ${host}:${port}
${IPTABLES} -t nat -A POSTROUTING -s ${subnet} -d ${host} -j SNAT --to-source ${OTHER_PROXY}
echo -n "${subnet}:PROXY "
fi
}
done
echo
echo –n “Apart script from diendan!”
fi
#end script


***Squid Configuration
2. Sửa cấu hình Squid: /etc/squid/squid.conf

http_port 8080

http_access allow localhost
acl PCNET src 192.168.7.0/24
http_access allow PCNET
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

hi,

cấu hình phần policy-routing cho Proxy dường như không hợp logic lắm. vui lòng kiểm tra lại access-list 110.

Thêm vào đó, policy routing (PBR) sẽ diễn ra trước quá trình routing + NAT thông thường. Do đó, diendan thử lý giải tại sao lại chọn PBR cho trong trường hợp này.

Cám ơn,

Anh Minh,

Em dùng Policy-Based Routing để thực hiện ý tưởng làm một path: Private Network (www) -> [203.162.9.1] -> Internet

Anh có thể chỉ cho em biết nó không hợp lý ở điểm nào, và anh sẽ sửa lại như thế nào được không anh Minh?


Cảm ơn anh.

hi diendan & mr minh,

Xin lỗi vì đã chen vào.

Nói về PBR, ngày xưa em đã có một tranh luận với hoachuoi và phuchvt ở đây:

http://vnpro.org/forum/viewtopic.php?t=117

Như vậy, PBR sẽ không tham khảo bảng routing table và có thể cũng sẽ không bị NAT.

Do đó, cái traffic do diendan định nghĩa sẽ không bị NATed!!!

Thêm vào đó, tcp traffic bao gồm rất nhiều traffic chứ ko chỉ là web. Cấu hình proxy của diendan chỉ dự định cho web traffic only. Mail, ftp...cũng sẽ PBR đó.

Take care,

SVN please confirm là NAT diển ra trước hay Policy Routing diển ra trước ?

Vì phải làm transparent cache bằng Redhat nên mình đã cố tìm tài liệu Cisco để thực hiện điều mơ ước đó và đã dùng PBR với mục đích tạo một path có độ ưu tiên hơn bình thường, forward packages bất chấp routing table, lúc đó NAT sẽ phải xếp thứ tự sau. Đó là lý thuyết! Hiện nay mình đang chạy cấu hình này và đang chạy good, nhưng không thể nói là không có trouble shooting được. Mong các bạn chỉ dẫn cho, mình hiểu chạy được sẽ rất dễ còn để chạy tốt nhất thì vấn đề lại rất khó!

SVN: Mình đang cho match chú 110 thì route chỉ forward gói www thôi chứ, sao lại có FTP ở đây thế? làm ơn giải thích giùm ...

Trân trọng cảm ơn!

diendan,

access-list của diendan được viết là:

access-list 110 deny tcp any any neq www
access-list 110 deny tcp host 203.162.9.1 any
access-list 110 permit tcp any any

sao không viết thành

access-list 110 deny tcp host 203.162.9.1 any
access-list 110 permit tcp any any eq www

Cách viết trên gọn hơn mà cũng có cùng tác dụng. SVN nhìn ACL của diendan và nghĩ rằng nó sai nhưng xem lại kỹ thì cũng ok.

Nếu không dùng PBR, diendan vẫn có thể cấu hình static NAT cho proxy server.

dùng NAT vói unnumbered interface có thể có một số problem. Dù sao SVN sẽ check và báo lại.

chúc vui vẻ,

Cảm ơn Sinhvienngheo,

By the way, Bạn có thể vui lòng phân tích/đánh giá xem dùng PBR có nhanh hơn NAT không??? CISCO khuyến cáo không nên dùng NAT với Large Network...

Ragards,