Vyatta

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 19:59, 14 февраля 2016.
Vyatta
Разработчик {{#property:p112}}


Установка

Данная ОС устарела и из официальных источников недоступна, однако на некоторых трекерах еще есть полумертвые раздачи. Рекомендуемые системные требования: 512 МБ оперативной памяти и 2 ГБ на жёстком диске. Дистрибутив представляет собой Live-CD. Образ диска монтируется к виртуальной машине, после чего ОС устанавливается в соответствие с инструкцией, доступной по адресу http://vyos.net/wiki/User_Guide (они относятся к форку данной системы VyOS, однако в принципе подходят и для Vyatta).

Логин и пароль по умолчанию: login: vyatta password: vyatta

Настройка

В системе имеется три сетевых интерфейса:

  1. eth0 - подключение к Internet;
  2. eth1 - подключение к локальной сети;
  3. eth2 - подключение к DMZ.

По умолчанию сетевые подключения не настроены:

Empty ifconfig.PNG

Для того, чтобы производить настройку системы, требуется перейти в специальный режим при помощи команды

vyatta@vyatta:~$ configure

Выход из этого режима осуществляется командой

vyatta@vyatta# exit

Настройка сетевых интерфейсов:

set int ethernet eth0 address dhcp
set int ethernet eth0 description INET_0
set int ethernet eth1 address 10.0.0.1/24
set int ethernet eth1 description LAN
set int ethernet eth2 address 10.0.1.1/24
set int ethernet eth2 description DMZ

Для сохранения изменений следует применить следующие команды:

commit
save

После этого система примет новую конфигурацию:

Ifconfig.PNG

Текущие настройки можно увидеть в режиме конфигурации командой show.

Установка зон для интерфейсов

set zone-policy zone NAT interface eth0
set zone-policy zone LOCAL interface eth1
set zone-policy zone DMZ interface eth2

Просмотр установленных зон в команде show:

Show zp.PNG

Установка потоков трафика между зонами

set zone-policy zone NAT from LOCAL firewall name LOCAL-NAT
set zone-policy zone NAT from DMZ firewall name DMZ-NAT
set zone-policy zone LOCAL from DMZ firewall name DMZ-LOCAL
set zone-policy zone LOCAL from NAT firewall name NAT-LOCAL
set zone-policy zone DMZ from NAT firewall name NAT-DMZ
set zone-policy zone DMZ from LOCAL firewall name LOCAL-DMZ

Настройка DHCP

set service dhcp-server shared-network-name MyDHCP authoritative enable 
set service dhcp-server shared-network-name MyDHCP subnet '10.0.0.1/24' 
set service dhcp-server shared-network-name MyDHCP subnet '10.0.0.1/24' start '10.0.0.100' stop '10.0.0.250'
set service dhcp-server shared-network-name MyDHCP subnet '10.0.0.1/24' default-router '10.0.0.1'

Настройка DNS

Установим в качестве DNS соответствующий сервис Google-DNS:

set service dhcp-server shared-network-name MyDHCP subnet '10.0.0.1/24' dns-server '8.8.8.8' 

Конфигурация DMZ

Заблокируем весь трафик в DMZ, кроме http и https.

set firewall name LOCAL-DMZ rule 9999 action drop
set firewall name LOCAL-DMZ rule 9999 log enable
set firewall name NAT-DMZ rule 9999 action drop
set firewall name NAT-DMZ rule 9999 log enable

Данные правила блокируют весь трафик в DMZ, кроме правил с меньшим номером.

Разрешение трафика с порта 80 (http) и 443 (https).

set firewall name LOCAL-DMZ rule 100 action accept
set firewall name LOCAL-DMZ rule 100 destination port 80,443
set firewall name LOCAL-DMZ rule 100 log enable
set firewall name NAT-DMZ rule 100 action accept
set firewall name NAT-DMZ rule 100 destination port 80,443
set firewall name NAT-DMZ rule 100 log enable

Сохраняем конфигурацию:

commit
save

Мониторинг трафика

set firewall name NAT-DMZ rule 50 action accept
set firewall name NAT-DMZ rule 50 destination port 80
set firewall name NAT-DMZ rule 50 log enable


Блокировка доступа

set service webproxy listen-address 10.0.0.1
set service webproxy url-filtering squidguard local-block bmstu.ru

Snort и MultiWan

Не поддерживаются.