Фильтрующий прозрачный мост

Введение

Прозрачный межсетевой экран (МСЭ) можно использовать для фильтрации трафика без создания различных подсетей. МСЭ соединяет при помощи моста один и тот же широковещательный домен уровня 2 через два порта или больше. Если подключен магистральный канал VLAN, все кадры с тегами VLAN будут соединены через прозрачный мост.

Эта конфигурация может использоваться для фильтрации с помощью МСЭ и использования IDS/IPS для проверки всех пакетов с помощью драйвера netmap.

См. также

Для получения дополнительной информации о фильтрующих мостах в FreeBSD, можно обратиться к странице filtering-bridges .

Предупреждение

Прозрачный фильтрующий мост не совместим с механизмом ограничения скорости.
Не включайте шейпинг трафика при использовании фильтрующего моста.

Предупреждение

Когда необходимо пропускать кадры с тегами VLAN, не создавайте никаких сетей VLAN на портах-участниках моста. В противном случае, тегированные кадры будут отфильтрованы и мост перестанет быть прозрачным.

Предварительные условия

Для данного руководства понадобятся:

  • Базовая установка Traffic Inspector Next Generation (TING) с настройками по умолчанию, для начального этапа.

  • Устройство с двумя сетевыми интерфейсами.

Для обеспечения наилучшей совместимости, производительности и надёжности следует использовать аппаратное устройство с количеством физических портов 3 и более. Виртуализированное решение тоже может работать, но могут возникнуть редкие неясные проблемы уровня 2 с мостами или VLAN.

Предупреждение

Если используется магистральный VLAN, всегда следует применять аппаратное обеспечение без операционной системы и, предпочтительно, сетевые карты Intel. Собственный драйвер netmap, используемый в IDS/IPS совместно с сетями VLAN, не всегда корректно работает с другими производителями или виртуальными сетевыми адаптерами.
Также убедитесь, что по этому каналу передают только тегированные кадры.

Конфигурирование

В данном примере, устройство имеет 3 сетевых порта:

  • igc0: LAN (Bridge)

  • igc1: WAN (Bridge)

  • igc2: MGMT (для управления)

../../_images/transparent-filtered-bridge.svg

Совет

Интерфейс управления может быть подключён либо напрямую к маршрутизатору интернет-провайдера (ISP-роутер) через отдельный порт, либо ко внутреннему коммутатору в VLAN, связь с которым будет осуществляться через мост.

1. Назначение интерфейса управления

Интерфейс управления будет использоваться для доступа к веб-интерфейсу TING и для обеспечения доступа в интернет для обновлений программного обеспечения.

  • Перейдите в Интерфейсы ‣ Назначение портов и назначьте новый интерфейс. Выберите один из трёх свободных портов (в данном примере - igc2) и назначьте его, в описании укажите MGMT.

  • Теперь надо перейти в Интерфейсы ‣ MGMT, включить интерфейс и установить Тип конфигурации IPv4 в DHCP или Статический IPv4 - в зависимости от ваших нужд.

После чего надо добавить правило МСЭ, чтобы разрешить доступ к веб-интерфейсу на этом интерфейсе правления:

  • Пройдите в Межсетевой экран ‣ Правила ‣ MGMT и добавьте правило, разрешающее доступ HTTPS к получателю Этот межсетевой экран.

После применения всех этих настроек, подключитесь к устройству через порт управления для выполнения следующих шагов.

2. Изменение системных настроек

Здесь мы указываем, что правила МСЭ должны соответствовать мосту, а не участникам моста.

Пройдите в Система ‣ Настройки ‣ Параметры и установите для нижеприведённых параметров указанные значения:

net.link.bridge.pfil_bridge

1

net.link.bridge.pfil_member

0

3. Создание моста

На страницах Интерфейсы ‣ WAN и Интерфейсы ‣ LAN установите параметры:

Блокировать частные сети

Отключено

Блокировать bogon сети

Отключено

Тип конфигурации IPv4

Отсутствует

Тип конфигурации IPv6

Отсутствует

Внимание

Отключите все серверы DHCP, связанные с интерфейсом LAN.

Перейдите в Интерфейсы ‣ Другие типы ‣ Сетевой мост:

  • Добавьте новый мост и выберите WAN и LAN в качестве участников интерфейса

Внимание

Не включайте Адрес link-local - в данной конфигурации интерфейс моста должен остаться без номера (без IP-адресов или VLAN, назначенных ему или участникам интерфейса).

Перейдите в Интерфейсы ‣ Назначения портов:

  • Укажите в описании Bridge

  • Добавьте интерфейс моста

Перейдите в Интерфейсы ‣ Назначения портов:

  • Включите интерфейс моста в настройках интерфейса

  • Установите параметры Тип конфигурации IPv4 и Тип конфигурации IPv6 в Отсутствует.

4. Добавление правила МСЭ

Перейдите в Межсетевой экран ‣ Правила ‣ Сетевой мост:

  • Добавьте правила МСЭ на интерфейсе моста для разрешения всего трафика (в обоих направлениях).

Совет

При необходимости, можно создать и более строгие правила. Если используется IDS/IPS, достаточно правил, разрешающих любой трафик. Поскольку мост является полностью прозрачным и не имеет номера, ни один клиент не может напрямую связываться с брандмауэром.

5. Активация службы обнаружения/предотвращений вторжений

Для проверки всего трафика моста, можно включить службу обнаружения вторжений.

Перейдите в Службы ‣ Обнаружение вторжений ‣ Администрирование, вкладка Настройки и установите параметры:

Параметр

Описание

Включен

Включено

Режим IPS

Включено

Режим прослушивания

Включено (если на участниках моста принимаются кадры с тегами vlan)

Интерфейсы

WAN

Загрузите и активируйте необходимые правила и примените настройки.

Внимание

Не выбирайте интерфейс моста - всегда выбирайте интерфейс WAN. Эмулируемый драйвер netmap не может обрабывать локальные сети на мосте - он должен подключаться в обычном режиме к физическому интерфейсу.

6. Подключение интерфейсов к существующей инфраструктуре

Теперь можно подключить интерфейсы моста к соответствующим коммутаторам или маршрутизаторам.

WAN следует подключить к магистральному порту на стороне WAN, а LAN - к магистральному порту на внутренней, защищённой стороне.

Брандмауэр может подключиться к интернету для получения последних обновлений через порт управления.