шлюзование с секретом

ANDREY MATVEEV

Спецвыпуск: Хакер, номер #072, стр. 072-020-4

port = ftp -> 127.0.0.1 port 8021

# vi /etc/authpf/users/rdp/authpf.rules

# Внешний сетевой интерфейс

ext_if = "fxp0"

# IP-адрес сервера терминалов

rdp_server = "192.168.1.100"

# Переадресовываем входящие RDP-соединения на сервер терминалов:

rdr on $ext_if inet proto tcp from $user_ip to $ext_if \

port 3389 tag RDP -> $rdp_server

pass in log quick on $ext_if tagged RDP flags S/SA synproxy state

Привязка IP к MAC с помощью bridge(4) и pf(4)

Рассмотрим пример предоставления клиентам (в данном случае - беспроводным) доступа к ресурсам Сети с привязкой IP к MAC с помощью bridge и pf. В данном случае для создания моста достаточно одного внутреннего сетевого интерфейса ral0 (это PCI'ная карточка Gigabyte GN-WPKG 802.11 b/g). Исходные данные (в виде «имя хоста: IP-адрес, MAC-адрес»):

ЛИСТИНГ

server: 192.168.2.1

client1: 192.168.2.2, 00:0f:ea:91:43:f6

client2: 192.168.2.3, 00:80:c8:2c:47:a1

Редактируем /etc/bridgename.bridge0:

ЛИСТИНГ

add ral0

blocknonip ral0

link0

-discover ral0

-learn ral0

flushall

static ral0 00:0f:ea:91:43:f6

static ral0 00:80:c8:2c:47:a1

up

rulefile /etc/bridge.conf

Редактируем /etc/bridge.conf:

ЛИСТИНГ

pass in on ral0 src 00:0f:ea:91:43:f6 tag client1

pass in on ral0 src 00:80:c8:2c:47:a1 tag client2

block in on ral0

Создаем и поднимаем псевдоустройство bridge:

ЛИСТИНГ

# ifconfig bridge0 create

# sh /etc/netstart bridge0

Для проверки просматриваем информацию о бридже:

ЛИСТИНГ

# brconfig bridge0

Редактируем /etc/pf.conf:

ЛИСТИНГ

ext_if = "fxp0"

wifi_if = "ral0"

client1 = "192.168.2.2"

client2 = "192.168.2.3"

nat on $ext_if inet from { $client1, $client2 } to any -> ($ext_if)

block in quick on $wifi_if from ! $client1 to any tagged client1

block in quick on $wifi_if from ! $client2 to any tagged client2

block return

pass quick on { lo0, $wifi_if } inet all

pass quick on $ext_if inet all keep state

Перезагружаем набор «рулесетов» файрвола:

ЛИСТИНГ

# pfctl -f /etc/pf.conf

КНИГА

Создание защищенных беспроводных сетей 802.11 в Microsoft Windows. Справочник профессионала. — М.: Издательство «ЭКОМ», 2006 / Дэвис Дж. / 400 страниц

Разумная цена: 300 рублей

Уровень: HARD

Руководство по созданию защищенных беспроводных сетей. Подробно описаны технологии 802.11, необходимые для организации общедоступных и частных Wi-Fi сетей (стандарт WPA). Среди рассмотренных тем: настройка компьютеров-клиентов беспроводной сети, работающих с Windows XP, Windows Server 2003 и Windows 2000, создание аутентификационной инфраструктуры и инфраструктуры открытых ключей (PKI), использование протоколов аутентификации EAP-TLS и PEAP-MS-CHAP, проектирование беспроводных локальных сетей, отражение сетевых атак с помощью протокола TKIP и Microsoft WPA, устранение неисправностей и так далее.

НА ДИСКЕ ТЫ НАЙДЕШЬ ПРИМЕРЫ КОНФИГУРАЦИОННЫХ ФАЙЛОВ ДЛЯ ПОСТРОЕНИЯ АУТЕНТИФИКАЦИОННОГО ШЛЮЗА

В КАЧЕСТВЕ ИСПОЛЬЗУЕМОЙ НА АУТЕНТИФИКАЦИОННОМ ШЛЮЗЕ ОПЕРАЦИОННОЙ СИСТЕМЫ МОЖЕТ ВЫСТУПАТЬ ЛЮБАЯ ИЗ FREE/OPEN/NET/DRAGONFLYBSD

ТАБЛИЦА AUTHPF_USERS МОЖЕТ БЫТЬ ИСПОЛЬЗОВАНА В ПРАВИЛАХ PF, КОТОРЫЕ ПРИМЕНЯЮТСЯ КО ВСЕМ АУТЕНТИФИЦИРОВАННЫМ ПОЛЬЗОВАТЕЛЯМ. НО СНАЧАЛА ЭТУ ТАБЛИЦУ СЛЕДУЕТ ОБЪЯВИТЬ В КОНФИГУРАЦИОННОМ ФАЙЛЕ /ETC/PF.CONF: TABLE <AUTHPF_USERS> PERSIST