По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Фаервол на Микротике основан на базе принципов iptables в Linux позволяет фильтровать входящий и исходящий трафик по определенным правилам. В статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. Погнали!
Общее представление
Основная идея любого фаервола это определение того, что разрешено и запрет всего остального. Так работают все современные инструменты фильтрации. При наличии фаервола, сеть можно разделить на ненадежные, полу - надежные и надежные.
Firewall Chains
Цепочки (последовательности) фаерволов сопоставляют по своим правилам входящий и исходящий с интерфейса трафик. После того, как трафик попал под определенное правило («сматчился»), вы можете совершать определенные манипуляции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. В Mikrotik есть следующие флаги: Input, Output и Forward.
Input Chain
Input матчит входящий на интерфейсы маршрутизатора трафик. Условно говоря – это прилетающие на роутера IP - пакеты. Обычная практика – дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. Помимо этого, многие блокируют входящий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN – остальные дропаются).
Всегда используйте VLAN – это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности.
Output Chain
Как можно догадаться по названию, данный инструмент направлен на фильтрацию исходящего от роутера трафика. Здесь можно блокировать запросы, исходящие непосредственно с роутера: например, DNS или ICMP запрос с роутера.
Forward Chain
Самое интересное – данный инструмент «матчит» трафик проходящий через Mikrotik с одного интерфейса на другой. Пример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. Пакет прилетает на внутренний интерфейс, а выходит через WAN.
Firewall Actions
Правила на фаерволе могут делать множество вещей, основные из которых: accept (принять), drop (сбросить) и отклонить (reject).
Accept
Данное правило позволяет просто «пропустить» проходящий через фаервол трафик. Никакой модификации или изменения маршрута – пакету будет позволено продолжить свой изначальный путь.
Reject
Фаервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. При этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке.
В данном методе есть один весомый минус: в случае, если злоумышленник попробует «сканировать» порты или совершить другой вид атаки – отправленные в его сторону REJECT сообщения лишь помогут ему в злодеяниях. Поэтому, в целях безопасности, мы рекомендуем использовать DROP.
Drop
Данное правило «дропает» пакет без отправления уведомления об этом источнику. Этот метод наиболее безопасен на этапе защиты своего Mikrotik от сканирования портов и прочих атак.
Firewall Rules
Правила Firewall определяют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены. Каждое правило – это комбинация параметров IP – адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций. Как мы говорили ранее – хорошо настроенный фаервол пропустит только необходимый для бизнеса трафика, дав запрет на пропуск всего остального потока трафика. Указывая набор разрешающих правил, всегда замыкайте их на конце строчкой «DENY ALL» (запретить все).
Chains
Каждое создаваемое правило назначается определенной цепочке (chain). После определения принадлежности к цепочке, пакеты проходят проверку через последовательность правил в порядке убывания (сверху вниз).
Порядок правил в фаерволе играет важную роль! Поэтому, от последовательности проверки зависит эффективность фильтрации.
Actions
Правило отрабатывает по одному из основных действий: принять (accept), отклонить (reject) и отбросить (drop). Выше мы подробнее рассказывали про каждое из указанных действий.
Адресация
Нашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP – адрес (это может быть как хост с /32 маской, так и целая подсеть с /24, например). Помимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE).
Комментарии
Создавая правила комментируйте их. Это важно, как и при программировании – код без комментариев очень сложно анализировать и понимать в будущем.
Советы
Хотим так же поделиться парой полезных советов по настройке Firewall:
Разрешайте только необходимый для работы трафик - да, это сложно. Но методом проб и ошибок мы рекомендуем добиться той настройки фаервола, в рамках которой все ваши подключения будут ясны и понятны.
Подключения только с определенного пула адресов - это может быть удаленный офис, IP – адреса ЦОД или VPN адресация. Тут нужно быть особенно бдительным.
В конце правил всегда используйте «deny all» - после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен – в конце цепочки добавьте правило запрета всего. Это будет означать, дословно: «Все, что не разрешено - запрещено».
Атакуйте свою сеть! - да, да, вы не ослышались. Конечно, без фанатизма :) Мы предлагаем периодически сканировать порты на вашем фаерволе. Например, это можно делать с помощью утилиты исследования сети Nmap.
Если вы работаете с Windows, структура файловой системы Linux может показаться особенно чуждой. Диск C: и буквы диска исчезли, их заменили каталоги / и загадочно звучащие каталоги, большинство из которых имеют трехбуквенные имена.
Стандарт иерархии файловой системы (FHS - Filesystem Hierarchy Standard) определяет структуру файловых систем в Linux и других UNIX-подобных операционных системах. Однако файловые системы Linux также содержат некоторые каталоги, которые еще не определены стандартом.
Обратите внимание, что мы не говорим здесь о файловой системе, которая является техническим шаблоном, используемым для хранения данных на диске. Структура каталогов, которую мы рассмотрим, применима к большинству дистрибутивов Linux независимо от того, какую файловую систему они используют.
Типы содержимого
Это основные типы контента, хранящегося в файловой системе Linux.
Постоянный (Persistent) - это содержимое, которое должно быть постоянным после перезагрузки, например, параметры конфигурации системы и приложений.
Время выполнения (Runtime) - контент, созданный запущенным процессом, обычно удаляется перезагрузкой
Переменный/динамический (Variable/Dynamic) - это содержимое может быть добавлено или изменено процессами, запущенными в системе Linux.
Статический контент (Static) - остается неизменным до тех пор, пока не будет явно отредактирован или перенастроен.
/ - Корневой каталог (root)
Все в вашей системе Linux находится в каталоге /, известном как root или корневой каталог. Вы можете думать о каталоге / как о каталоге C: в Windows, но это не совсем так, поскольку в Linux нет букв дисков. В то время как другой раздел будет расположен вD: в Windows, этот другой раздел появится в другой папке в / в Linux. Если вы посмотрите на структуру каталогов, вы поймете, что она похожа на корень дерева.
Поскольку все остальные каталоги или файлы происходят от корня, абсолютный путь к любому файлу проходит через корень. Например, если у вас есть файл в /home/user/documents, вы можете догадаться, что структура каталогов идет как root -> home -> user -> documents.
/bin - Основные пользовательские двоичные файлы
Каталог /bin содержит основные пользовательские двоичные файлы (программы), которые должны присутствовать при монтировании системы в однопользовательском режиме.
Приложения, например такие как браузер Firefox, хранятся в /usr/bin, а важные системные программы и утилиты, такие как оболочка bash, находятся в /bin. Каталог /usr может храниться в другом разделе - размещение этих файлов в каталоге /bin гарантирует, что в системе будут эти важные утилиты, даже если другие файловые системы не смонтированы.
/bin непосредственно содержит исполняемые файлы многих основных команд оболочки, таких как ps, ls, ping, grep, cp.
Каталог /sbin аналогичен - он содержит важные двоичные файлы системного администрирования. /sbin содержит iptables, reboot, fdisk, ifconfig, swapon
/boot - Статические загрузочные файлы
Каталог /boot содержит файлы, необходимые для загрузки системы - например, здесь хранятся файлы загрузчика GRUB и ваши ядра Linux. Однако файлы конфигурации загрузчика не находятся здесь - они находятся в /etc вместе с другими файлами конфигурации.
/cdrom - Точка монтирования для компакт-дисков
Каталог /cdromне является частью стандарта FHS, но вы все равно найдете его в Ubuntu и других операционных системах. Это временное место для компакт-дисков, вставленных в систему. Однако стандартное расположение временных носителей находится в каталоге /media.
/dev - Файлы устройства
Linux представляет устройства в виде файлов, а каталог /dev содержит ряд специальных файлов, представляющих устройства. Это не настоящие файлы в том виде, в каком мы их знаем, но они отображаются как файлы - например, /dev/sda представляет собой первый диск SATA в системе. Второй диск будет называться /dev/sdb. Если вы хотите его разбить, вы можете запустить редактор разделов и указать ему отредактировать /dev/sda. В итоге получим что первым разделом этого диска будет /dev/sda1, а вторым - /dev/sda2.
Этот каталог также содержит псевдоустройства, которые представляют собой виртуальные устройства, которые на самом деле не соответствуют оборудованию. Например, /dev/random производит случайные числа. /dev/null - это специальное устройство, которое не производит вывода и автоматически отбрасывает весь ввод - когда вы перенаправляете вывод команды на /dev/null, вы отбрасываете его.
/etc - Файлы конфигурации
Каталог /etc содержит файлы конфигурации, которые обычно можно редактировать вручную в текстовом редакторе. Обратите внимание, что каталог /etc/ содержит общесистемные файлы конфигурации (например имя хоста) - пользовательские файлы конфигурации находятся в домашнем каталоге каждого пользователя.
/home - Домашние папки
Каталог /home содержит домашнюю папку для каждого пользователя. Например, если ваше имя пользователя - bob, у вас есть домашняя папка, расположенная в /home/bob. Эта домашняя папка содержит файлы данных пользователя и пользовательские файлы конфигурации. Каждый пользователь имеет право записи только в свою домашнюю папку и должен получить повышенные права (стать пользователем root) для изменения других файлов в системе.
/lib - Основные общие библиотеки
Каталог /lib содержит библиотеки, необходимые для основных двоичных файлов в папке /bin и /sbin. Библиотеки, необходимые для двоичных файлов в папке /usr/bin, находятся в /usr/lib.
Имена файлов библиотеки: ld* или lib*.so.*.
Поскольку вы, вероятно, используете 64-битную операционную систему, то у вас есть пара каталогов: /lib, /lib32 и /lib64. Те библиотеки, которые не содержат кода, специфичного для версии процессора, находятся в папке /lib. Те, которые зависят от версии, находятся в каталогах /lib32 (32-бит) или /lib64 (64-бит), в зависимости от ситуации.
/lost+found - Восстановленные файлы
В каждой файловой системе Linux есть каталог /lost+found. В случае сбоя файловой системы проверка файловой системы будет выполнена при следующей загрузке. Любые найденные поврежденные файлы будут помещены в каталог lost+found, чтобы вы могли попытаться восстановить как можно больше данных.
/media - Съемный носитель
Каталог /media содержит подкаталоги, в которых монтируются съемные носители, вставленные в компьютер. Например, когда вы вставляете компакт-диск в свою систему Linux, внутри каталога /media автоматически создается каталог. Вы можете получить доступ к содержимому компакт-диска внутри этого каталога.
Например, /media/cdrom для CD-ROM (если он не расположен в корне), /media/floppy для дисководов гибких дисков, /media/cdrecorder для рекордера компакт-дисков
/mnt - Временные точки монтирования
Исторически сложилось так, что каталог /mnt - это то место, где системные администраторы монтируют временные файловые системы во время их использования. Например, если вы монтируете раздел Windows для выполнения некоторых операций по восстановлению файлов, вы можете подключить его в /mnt/windows. Однако вы можете монтировать другие файловые системы в любом месте системы.
/opt - Дополнительные пакеты
Каталог /opt содержит подкаталоги для дополнительных пакетов программного обеспечения. Он обычно используется проприетарным программным обеспечением, которое не подчиняется стандартной иерархии файловой системы - например, проприетарная программа может выгружать свои файлы в /opt/application при ее установке.
/proc - Файлы ядра и процессов
Каталог /proc похож на каталог /dev, потому что он не содержит стандартных файлов. Он содержит специальные файлы, которые представляют информацию о системе и процессе.
Это псевдофайловая система, содержащая информацию о запущенном процессе. Например: каталог /proc/{pid} содержит информацию о процессе с этим конкретным pid.
Также тут можно получить текстовую информацию о системных ресурсах. Например узнать аптайм /proc/uptime, проверить информацию о процессоре /proc/cpuinfo или проверить использование памяти вашей системой Linux /proc/meminfo.
/root - Корневой домашний каталог
Каталог /root - это домашний каталог пользователя root. Вместо того, чтобы находиться в /home/root, он находится в /root. Он отличается от /, который является корневым каталогом системы, важно не путать их.
/run - Файлы состояния приложения
Каталог /run является довольно новым и предоставляет приложениям стандартное место для хранения необходимых им временных файлов, таких как сокеты и идентификаторы процессов. Эти файлы нельзя хранить в /tmp, потому что файлы в /tmp могут быть удалены.
/sbin - Двоичные файлы системного администрирования
Каталог /sbin аналогичен каталогу /bin. Он содержит важные двоичные файлы, которые обычно предназначены для запуска пользователем root для системного администрирования.
/selinux - виртуальная файловая система SELinux
Если ваш дистрибутив Linux использует SELinux для обеспечения безопасности (например, Fedora и Red Hat), каталог /selinux содержит специальные файлы, используемые SELinux. Это похоже на /proc. Ubuntu не использует SELinux, поэтому наличие этой папки в Ubuntu кажется ошибкой.
/srv - Сервисные данные
Каталог /srv содержит «данные об услугах, предоставляемых системой». Если вы использовали HTTP-сервер Apache для обслуживания веб-сайта, вы, вероятно, сохранили бы файлы своего веб-сайта в каталоге внутри каталога /srv.
/tmp - Временные файлы
Приложения хранят временные файлы в каталоге /tmp. Эти файлы обычно удаляются при перезапуске вашей системы и могут быть удалены в любое время с помощью таких утилит, как tmpwatch.
/usr - Пользовательские двоичные файлы и данные только для чтения
Каталог /usr содержит приложения и файлы, используемые пользователями, в отличие от приложений и файлов, используемых системой. Например, второстепенные приложения расположены в каталоге /usr/bin вместо каталога /bin, а второстепенные двоичные файлы системного администрирования расположены в каталоге /usr/sbin вместо каталога /sbin. Библиотеки для каждого из них находятся в каталоге /usr/lib. Каталог /usr также содержит другие каталоги - например, файлы, не зависящие от архитектуры, такие как графика, находятся в /usr/share.
Каталог /usr/local - это место, куда по умолчанию устанавливаются локально скомпилированные приложения - это не позволяет им испортить остальную часть системы.
/var - файлы переменных данных
/var это место, где программы хранят информацию о времени выполнения, такую как системный журнал, отслеживание пользователей, кэши и другие файлы, которые системные программы создают и управляют.
Каталог /var является записываемым аналогом каталога /usr, который при нормальной работе должен быть доступен только для чтения. Файлы логов и все остальное, что обычно записывается в /usrво время нормальной работы, записывается в каталог /var. Например, вы найдете файлы логов в /var/log. Помимо логов тут можно найти пакеты и файлы базы данных /var/lib, электронные письма /var/mail, очереди печати /var/spool, файлы блокировки /var/lock, временные файлы, необходимые при перезагрузке /var/tmp.
В данной статье речь пойдёт о способах и алгоритмах настройки VoIP шлюза для осуществления звонков с офисных телефонных аппаратов, имеющихся в офисе, через сеть IP.
В настоящее время подавляющее большинство современных компаний имеют телефонную связь. Какие-то компании уже открыли для себя преимущества, открывающиеся благодаря VoIP телефонии, каким-то только предстоит это сделать. Очень распространена ситуация, когда в компании уже имеются средства традиционной (аналоговой или цифровой) телефонной связи и переоснащение всего офиса новыми IP телефонами получается довольно дорогостоящим. В таких ситуациях на помощь приходят межсетевые VoIP шлюзы.
Межсетевой шлюз VoIP – это устройство предназначенное для сопряжения сетей традиционной телефонии с пакетной сетью передачи данных, в качестве которой выступает Интернет. Такое сопряжение достигается благодаря аппаратным и программным возможностям шлюзов, а именно преобразованием трафика из одного типа сетей в другой. Аппаратное исполнение VoIP шлюза различается по типу телефонного стыка, на цифровые (E1/T1, ISDN) и аналоговые (FXO, FXS).
Организовать телефонную связь через голосовой шлюз предлагают провайдеры IP телефонии, которые предоставляют услуги связи по протоколу SIP через сеть Интернет.
При такой схеме реализации создаётся, так называемый, SIP - транк (trunk), являющийся по сути телефонной линией, которая устанавливается через сеть Интернет по средствам протокола SIP. SIP провайдер, при помощи данного протокола, даёт компании - клиенту множество голосовых каналов.
После заключения договора с оператором VoIP, остаётся только настроить голосовой шлюз, это является основной и самой объёмной работой на пути к обеспечению компании качественной IP телефонией.
Рассмотрим настройку подключения аналогового телефона к пакетной сети на простейшем примере, когда в офисе имеется всего один аналоговый телефонный аппарат и голосовой шлюз компании AddPac. По командной консоли устройства AddPac очень напоминают Cisco, поэтому, конфигурация приведённая ниже отлично подойдёт для понимания процесса настройки.
Сперва следует настройка сетевых параметров шлюза и маршрутизации.
Gateway# configure terminal
Gateway(config)#interface FastEthernet 0/0
Gateway(config-if)# ip address 192.168.0.11 255.255.255.0
Gateway(config-if)# exit
Gateway(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.1
Далее настройка диал-пиров (dial-peer) и маршрутов. Диал-пиры определяют параметры, направление и участников соединения. В нашем случае, необходимо настраивать диал-пиры в два направления, в сторону аналогового порта и в сторону SIP провайдера.
Диал-пир в сторону аналогового порта:
Gateway(config)# dial-peer voice 0 pots
Gateway(config-dialpeer-pots-0)#destination-pattern [ID, выданный SIP провайдером]
Gateway(config-dialpeer-pots-0)#port 0/0
Gateway(config-dialpeer-pots-0)#exit
Gateway(config)# dial-peer voice 1 pots
Gateway(config-dialpeer-pots-1)#destination-pattern [ID, выданный SIP провайдером]
Gateway (config-dialpeer-pots-1)#port 1/0
Gateway(config-dialpeer-pots-1)#exit
Создание диал-пира в сторону SIP провайдера:
Gateway(config)#dial-peer voice 100 VoIP
Gateway(config-dialpeer-VoIP-100)#destination-pattern T
Данная команда означает что этот dial-peer будет соответствовать любому номеру
Gateway(config-dialpeer-VoIP-100)#session target sip-server
Команда, указывающая адрес SIP-сервера.
Gateway(config-dialpeer-VoIP-100)#session protocol sip
Команда, указывающая шлюзу по какому протоколу устанавливать соединение, в данном случае SIP
Gateway(config-dialpeer-VoIP-100)#voice-class codec 0
Настройка приоритизации используемых кодеков
Gateway(config-vclass-codec#0)# codec preference 1 g711alaw
Gateway(config-vclass-codec#0)# codec preference 2 g729
Gateway(config-dialpeer-VoIP-100)# no vad
Команда, включающая принудительное подавление тишины
Gateway(config-dialpeer-VoIP-100)#exit
Настройка SIP UA (User Agent) для подключения к поставщику услуг
Gateway(config)# sip-ua
Gateway(config-sip-ua)# sip-username [ID, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-password ******* [Password, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-server [адрес SIP-сервера]
Gateway(config-sip-ua)# srv enable
Команда, позволяющая серверу определять местоположение (имя хоста и номер порта) для определенных служб. Является стандартом DNS Service Record
Gateway(config-sip-ua)#register e164
Команда для отдельной регистрации телефонных портов на сервере. Позволяет настраивать маршрутизацию звонков индивидуально для каждого порта.
Gateway(config-sip-ua)#exit
Router#write
После проведённых действий можно звонить с аналогового аппарата, имеющегося в офисе на любые телефонные номера через SIP провайдера. Входящие звонки извне будут поступать на порт 0/0 или 1/0, в случае недоступности первого.
Конфигурация, приведённая выше является простейшим примером. В реальности же включается дополнительный функционал и опции, например настройка переадресации или удержания звонка, телефонная сеть офиса может быть выделена в отдельный VLAN, а голосовой трафик иметь множество механизмов приоритизации.
Специалисты нашей компании имеют большой опыт в настройке и устранении проблем VoIP шлюзов. Если Вы решили модернизировать старую или с нуля разворачиваете телефонную сеть для своего офиса – доверьте это дело высококвалифицированным сотрудникам нашей компании.