konfiguracja firewalla z 3 interfejsami

[gz0r3k]

Witam,
Chciałbym skonfigurować firewall, który by stał na Debianie i skonfigurować za pomocą tablesów :-D
Powiedzmy że miałby pracować w sieci firmowej o średniej wielkości (kilkadziesiąt stacji roboczych), która posiada wydzielone DMZ. W DMZ usługi takie jak np: www(http, https), ftp, pop3, imap, smtp (może coś jeszcze?), po stronie LAN serwer DNS(bezpieczniej niż w DMZ) i jakiś SQL.
DNS i SQL udostępnione jedynie dla LAN, poczta również. Na zewnątrz widoczna będzie strona firmowa(lub kilka) i FTP, w sieci lokalnej również FTP i strony internetowe ze strefy DMZ i strony z WAN, fajnie by było gdyby użytkownicy mogli dzwonić przez VoIP. Chciałbym jeszcze postawić proxy żeby sieć była jak najlepiej chroniona.
Z racji takiej że nie jestem niedoświadczony, powyższy opis może zawierać błędy, więc proszę o wyrozumiałość i o poprawienie i wyjaśnienie.
jak mam się do tego zabrać?
chciałbym aby polityka bezpieczeństwa była rygorystyczna, czyli strwożenie bezpiecznej sieci ale żeby nie przeszkadzała pracownikom w wykonywaniu ich obowiązków.
jakie protokoły powinny być odblokowanie na zaporze i jakie usługi powinny działać?

[TQM]

Generalnie firewall z 3 sieciowkami zaden problem... Rozumiem ze mowiac o DMZ mowisz o osobnych serwerach i ten firewall bedzie tylko filtrowal pakiety i przesylal do wskazanych sieci.

Co do DNS - serwer DNS w LAN ok, jako podreczny cache jak znalazl, drugi serwer DNS powinienes miec w DMZ, chyba ze nie utrzymujesz DNSow dla siebie tylko hostujesz je gdzies indziej to wtedy jeden DNS w LAN bedzie ok i nic wiecej nie kombinowac.

SQL w LAN - ok ale co bedzie sie do niego laczyc?

DMZ - imap/pop/smtp/www - ok, to standardowy zestaw, czasami dochodzi serwer DNS.

Ogolne zasady dotyczace filtracji ruchu:
- LAN -> DMZ - zezwalaj (zazwyczaj wszystko)
- LAN -> WAN - zezwalaj wszystko (nie polecam wszystkiego ale niech bedzie)
- WAN -> DMZ - zezwalaj wybrane uslug do wybranych adresow (nawet jesli to idzie poprzez DNAT ale to osobna siec, osobne komputery)
- WAN -> LAN - blokuj wszystko

[gz0r3k]

powiedzmy że firma jest samowystarczalna i umieścimy DNS w DMZ
co do SQL to wszystkie firmy mają jakieś aplikacje sieciowe do pracy, tylko ta aplikacja nie łączyła by się ze światem zewnętrznym (? nie jestem pewien, bo firmy posiadają np płatnika który musi mieć kontakt ze światem ale może zdefiniować w regułach z czym ma się łączyć?)
a jak przeprowadzić NAT? załóżmy że WAN to 10.1.1.1, DMZ 173.16.1.1-173.16.1.7(6 hostów - www, ftp, pop3, imap, smtp, dns), LAN 192.168.1.1 (kilkadziesiąt hostów) i chcę żeby LAN korzystał z dobrodziejstw DMZ no i z DNS i SQL(przykładowy wysoki port: 11111) w LAN i ze stron z WAN(coś jeszcze się udostępnia z WAN?).
Gdy chcemy udostępnić www z DZM do WAN i LAN to na interfejsie DMZ to deklarujemy że udostępniamy port 80 dla WAN i np jakiś wysoki dla LAN?
a jak to wygląda przy użyciu proxy? gdzie i dokąd zezwalamy na ruch?
nie rozumiem jeszcze do końca zasad działania firewalla :/

[TQM]

WAN to WAN - tam masz wszystko na czerwono :-)
DMZ - obszar chroniony ale dostepny z WAN, czesto oznaczany na pomaranczowo
LAN - tutaj zielono, czujemy sie raczej bezpiecznie ('raczej' jest slowem kluczowym)

Teraz interfejsy firewalla:
- WAN 10.1.1.1/24 eth0
- DMZ 172.16.1.1/24 eth1
- LAN 192.16.1.1/24 eth2

Na poczatek polityka FORWARD DROP i INPUT DROP bo przekazywanie pakietow miedzy sieciowkami to FORWARD a do NAT bedzie PREROUTING/POSTROUTING.

1 - LAN -> WAN... ustawiasz regule w FORWARD podajac -i eth2 -o eth0 -j ACCEPT i odpalasz NAT na POSTROUTING
2 - LAN -> DMZ... mozesz tak jak w #1 ale wtedy wszystkie kompy z LAN widoczne sa w DMZ jako firewall, malo przydatne moim zdaniem, wiec po prostu zezwalasz na FORWARD z LAN podajac -i eth2 -o eth1 -j ACCEPT oraz regulke powrotna koniecznie ale tutaj przyda sie -m state --state ESTABLISHED,RELATED aby wpuscic odpowiedz. Wazne jest to ze maszyny z DMZ nie maja prawa nawiazywac polaczen do ZADNEJ z maszyn w LAN
3 - DMZ -> WAN... jesli masz jeden adres IP to NAT, jak masz wiecej to i tak pewnie bedzie NAT ale mozliwe ze na osobne adresy IP
4 - DMZ -> LAN... blokujewsz wszystko co nie jest odpowiedza na polaczenia z LAN
5 - WAN -> DMZ... zezwalasz na przychodzace na porty uslug i robisz DNAT do DMZ, reszta DROP
6 - WAN -> LAN... DROP

dalej w zaleznosci od tego jak skomplikowana konfiguracja, mozna czarowac!