Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir.



Benzer belgeler
OpenBSD PF CARP ve pfsync ile Redundancy Firewall

FreeBSD/OpenBSD Temel A Ayarları

FreeBSD Ağ Uygulamaları

OpenBSD PF ile Güvenlik Duvarı Uygulamaları

OpenBSD PacketFilter(PF) ile Firewall Uygulamaları

FreeBSD Üzerinde VLAN Kullanımı

OpenBSD Packet Filter ile Görünmez Firewall Uygulaması. Devrim Sipahi

Fedora Core Ağ Ayarları

FreeBSD Üzerinde VLAN Kullanımı

FreeBSD ve PF ile Güvenlik Duvarı. Murat ÜSTÜNTAŞ

Tuğrul Boztoprak. 1 Haziran 2009 III. ULAKNET Çalıştay ve Eğitimi

OpenBSD Pf ve Squid ile Transparent Proxy Kurulumu.!!Bu yazıda OpenBSD 3.7 işletim sistemi kullanılmıştır.

TCPDUMP İLE TRAFİK ANALİZİ(SNİFFİNG)

FreeBSD Ağ Uygulamaları ve Güvenlik. Murat Balaban EnderUNIX Çekirdek Takımı Üyesi

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

LINUX TA İNTERNET PAYLAŞIMI

OPENBSD - PAKET SÜZGECĐ PF - PACKET FILTER V1_1.0

Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir.

# ifconfig le netmask broadcast

Marmara Üniversitesi nde IPv6 Deneyimi

FreeBSD ve Windows XP üzerinde IPv4 Ağından IPv6 Ağına Bağlanma (Tunnel Broker)

Useroam Cloud Kurulum Rehberi

Parsing Dostu: AWK! Özkan KIRIK. ozkan ~ enderunix.org

Özgür Yazılımlarla DDOS Saldırılarını Engelleme.

Kurumsal Güvenlik ve Web Filtreleme

Ön Söz. Bu belge bilgisayar ağlarında adli bilişim çalışmalarını (network forensic), kullanılan teknik ve terimleri anlatmaktadır.

Kurumsal Güvenlik ve Web Filtreleme

qmail ile SPAM engelleme Devrim Sipahi Dokuz Eylül Üniversitesi

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

Açık Kod yazılımlar ile Ağ ve Güvenlik Çözümleri. Huzeyfe ÖNAL

Packet-O-Matic: NetworkForensic Aracı

Bir port aynı anda bir process tarafından dinlenebilir. Fakat bir process birden fazla portu dinleyebilir.

Computer and Network Security Cemalettin Kaya Güz Dönemi

Syn Flood DDoS Saldırıları

Bazı Cisco Router Modelleri: Cisco 1720 Router

AHTAPOT Güvenlik Duvarı Yönetim Sistemi Kullanımı

Ağ Topolojisi ve Ağ Yazılımları

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Bu kılavuzda DS Manager ile, NP311 Serial to Ethernet dönüştürücünün kurulum ve konfigürasyonuna ilişkin pratik bilgiler bulunmaktadır.

Cluster i Linux'ta Kümeleme Özgür Yazılım ve Açık Kaynak G 2006 Ali Erdinç Köroğlu

Linux Yaz Kampı 2012 pfsense 2.0 Eğitimi. Çağrı Ersen

Virtual Router Redundancy Protocol (VRRP)

AHTAPOT Firewall Builder Kullanım Senaryoları

2332 NX4RT 4 KANAL TRIPLEX NETWORK DVR CİHAZI KOLAY KURULUM KILAVUZU

[TCP/IP Ağlarda Parçalanmış Paketler]

CHAPTER 9. DHCP Server

Açık Kod Dünyasında Ağ ve Sistem Güvenliği Afşin Taşkıran

Ön Söz. PfSense Nedir? İlk Bakış. Kurulum İçin Neler Gerekiyor? Donanım

Clonera Bütünleşik İş Sürekliliği Gereksinimler ve Kurulum Dökümanı

Ipv6 Egitimi. Mustafa Reşit Şahin. Software Engineer.

FreeBSD' de PF+ALTQ kullanarak Trafik Şekillendirme

Iptables. Deniz Özibrişim. Eylül, 2012

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

TCPDump Kullanımı. Afşin Taşkıran. Tcpdump, Unix/Linux benzeri sistemler için vazgeçilmez paket yakalama ve analiz aracıdır.

YM.AP.4452.UM.TR.D00REV

5.Port Yönlendirme ve Firewall

Clonezilla Server ile Ağ Üzerinden Çoklu İmaj Yükleme

Free Cooling (Tibbo Ethernet Modüllü)

NP301. K&K NP301 Sanal COM portu tanımlama adımları ADIM-1

Özgür Yazılımlarla Sınır Güvenliği

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

300 BANT KABLOSUZ ERİŞİM NOKTASI YÖNLENDİRİCİ

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Hping kullanarak TCP/IP Paketleriyle Oynama Hping-I

2 Server 1 Storage üzerinde HyperV Cluster kurulumu ve dikkat edilmesi noktalar aşağıdaki gibidir.

Temel Bilgi Teknolojileri I

Sanal IPv6 Balküpü Ağı Altyapısı: KOVAN. Yavuz Gökırmak, Onur Bektaş, Murat Soysal, Serdar Yiğit

Ağ Projektörü Çalıştırma Kılavuzu

Backtrack Network Pentest

CLR-232-WS RS232 - Seri Wi-Fi Ethernet Çevirici

sunucu uygulaması Devrim Sipahi

Useroam Cloud Kurulum Rehberi Cyberoam

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Port Yönlendirme ve Firewall Kuralı Oluşturma

Program Kurulum. Turquaz Muhasebe. İçindekiler

IP Adres Subnet Mask Default Gateway ??

Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Kolay Kurulum Kılavuzu

CHAPTER 12. AĞ BİLEŞENLERİ ve AĞ AYARLARI

1 BAŞLARKEN SYSTEM CENTER DATA PROTECTION MANAGER

OPENBSD İŞLETİM SİSTEMİ ÜZERİNE PFW KURULUMU

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

SNORT 2.3, ACID FEDORA 3 PF, SNORTSAM OPENBSD 3.6

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

PALO ALTO FIREWALL NAT

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Useroam Sonicwall Kurulum Rehberi

Giriş. İş Ortamlarına Yerleşimi. SecurityOnion Nedir? SecurityOnion İndirme Adresi. SecurityOnion Kurulumu. Kurulum Sonrası Yapılandırma

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

LOG SHIPPING Yusuf KAHVECİ Senior Database

OPENVPN Ipv4 & Ipv6 Tunnel Broker

EC-232C. Ethernet RS232 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Firewall Log Server. Kurulum Kılavuzu

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

İnternet Bağlantı Ayarları. Kablosuz Bağlantı Ayarları. Pirelli DRG A226G. Modem Kurulum Kılavuzu. VodafoneNET

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Açık Kod Dünyasında Ağ ve Sistem Güvenliği. EnderUnix Çekirdek Takımı Üyesi afsin ~ enderunix.org

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 11. DHCP - Dynamic Host Configuration Protocol

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

Transkript:

Ön Söz Firewall lar ağ sınır güvenliğinin vazgeçilmezi ve en kritik seviyede çalışan sistemlerden biridir.firewall donanımsal veya yazılımsal bir sorun yaşattığında, yerel ağı dünyaya bağlayan nokta kesilir, bu durumda iş yükü ve kazanç için düşünmek istemediğimiz tüm kabus senaryoları bir bir işlemeye başlar. Bu yazıda iki OpenBSD PF firewall arasında cluster yapısı ve failover anlatılmıştır.bir firewall kapanınca, anında diğerinin devreye girmesi senaryosu ile pratikte nasıl yapıldığını bu belgede bulabilirsiniz. Belgenin yeni sürümlerine http://www.cehturkiye.com adresinden ulaşabilirsiniz. Belge Ozan UÇAR tarafından yazılmıştır ve yazarın ismine sadık kalmak kaydı ile belge izin alınmaksızın her şekilde paylaşılabilir ve dağıtılabilir. Gereksinimler Bu belgede kullanılan işletim sistemleri OpenBSD 4.7, diğer *BSD istemlerde pf aktif edilerek aynı mantıkla carp işlemi yapılabilinir. OpenBSD CARP Network Şeması Dikkat: Aşağıdaki bilgileri kendi sisteminize ve ağ yapınıza göre düzenleyiniz aksi taktirde bire bir yaptığınız ayarlar çalışmayabilir.

OpenBSD PF Master # uname -a OpenBSD master.cehturkiye.com 4.7 GENERIC#558 i386 # cat /etc/mygate 192.168.5.254 # cat /etc/myname master.cehturkiye.com OpenBSD Master Ağ Arabirimleri lan:em0 wan:em1 pfsync:em2 Ağ Ayarlarını Yapılandırmak # cat /etc/hostname.em0 inet 10.0.0.55 255.255.255.0 NONE # cat /etc/hostname.em1 inet 192.168.5.55 255.255.255.0 # cat /etc/hostname.em2 inet 172.16.16.55 255.255.255.0 NONE # cat /etc/hostname.pfsync0 up syncdev em2

OpenBSD MASTER Ağ Ayarlarının Çıktısı # ifconfig lo0: flags=8049 mtu 33200 groups: lo inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0 5 inet 127.0.0.1 netmask 0xff000000 em0: flags=8b43 mtu 1500 lladdr 00:0c:29:b4:d4:59 media: Ethernet autoselect (1000baseT full-duplex,master) status: active inet6 fe80::20c:29ff:feb4:d459%em0 prefixlen 64 scopeid 0 1 inet 10.0.0.55 netmask 0xffffff00 broadcast 10.0.0.255 em1: flags=8b43 mtu 1500 lladdr 00:0c:29:b4:d4:63 groups: egress media: Ethernet autoselect (1000baseT full-duplex,master) status: active inet6 fe80::20c:29ff:feb4:d463%em1 prefixlen 64 scopeid 0 2 inet 192.168.5.55 netmask 0xffffff00 broadcast 192.168.5.255 em2: flags=8843 mtu 1500 lladdr 00:0c:29:b4:d4:6d media: Ethernet autoselect (1000baseT full-duplex,master) status: active inet6 fe80::20c:29ff:feb4:d46d%em2 prefixlen 64 scopeid 0 3 inet 172.16.16.55 netmask 0xffffff00 broadcast 172.16.16.255 enc0: flags=0<> mtu 1536 pfsync0: flags=41 mtu 1500 pfsync: syncdev: em2 maxupd: 128 defer: off pfsync pflog0: flags=141 mtu 33200 groups: pflog carp1: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:01 carp: MASTER carpdev em1 vhid 1 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:101%carp1 prefixlen 64 scopeid 0 6 inet 192.168.5.100 netmask 0xffffff00 broadcast 192.168.5.255

carp2: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:02 carp: MASTER carpdev em0 vhid 2 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:102%carp2 prefixlen 64 scopeid 0 7 inet 10.0.0.100 netmask 0xffffff00 broadcast 10.0.0.255 WAN arabirimine (em1) bağlı carp1 sanal interface # cat /etc/hostname.carp1 inet 192.168.5.100 255.255.255.0 192.168.5.255 vhid 1 advbase 20 advskew 0 carpdev em1 pass benimgizliparolam LAN arabirimine (em0) bağlı carp1 sanal interface inet 10.0.0.100 255.255.255.0 10.0.0.255 vhid 2 advbase 20 advskew 0 carpdev em0 pass benimgizliparolam CARP işlemi için ihtiyacımız olan sistem ayarları # sysctl net.inet.ip.forwarding=1 net.inet.ip.forwarding: 0 -> 1 # sysctl -w net.inet.carp.allow=1 net.inet.carp.allow: 1 -> 1 # sysctl -w net.inet.carp.preempt=1 net.inet.carp.preempt: 0 -> 1 # sysctl -w net.inet.carp.log=1 net.inet.carp.log: 0 -> 1

OpenBSD PF Backup # uname -a OpenBSD backup.cehturkiye.com 4.7 GENERIC#558 i386 # cat /etc/mygate 192.168.5.254 # cat /etc/myname backup.cehturkiye.com OpenBSD Backup Ağ Arabirimleri lan:em0 wan:em1 pfsync:em2 Ağ Ayarlarını Yapılandırmak; # cat /etc/hostname.em0 inet 10.0.0.66 255.255.255.0 NONE # cat /etc/hostname.em1 inet 192.168.5.66 255.255.255.0 # cat /etc/hostname.em2 inet 172.16.16.66 255.255.255.0 NONE # cat /etc/hostname.pfsync0 up syncdev em2

OpenBSD Backup Ağ Ayarlarının Çıktısı # ifconfig lo0: flags=8049 mtu 33200 groups: lo inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0 5 inet 127.0.0.1 netmask 0xff000000 em0: flags=8b02 mtu 1500 lladdr 00:0c:29:83:49:fc media: Ethernet autoselect (none) status: no carrier inet 10.0.0.66 netmask 0xffffff00 broadcast 10.0.0.255 inet6 fe80::20c:29ff:fe83:49fc%em0 prefixlen 64 duplicated scopeid 0 1 em1: flags=8b43 mtu 1500 lladdr 00:0c:29:83:49:06 groups: egress media: Ethernet autoselect (1000baseT full-duplex,master) status: active inet6 fe80::20c:29ff:fe83:4906%em1 prefixlen 64 scopeid 0 2 inet 192.168.5.66 netmask 0xffffff00 broadcast 192.168.5.255 em2: flags=8843 mtu 1500 lladdr 00:0c:29:83:49:10 media: Ethernet autoselect (1000baseT full-duplex,master) status: active inet 172.16.16.66 netmask 0xffffff00 broadcast 172.16.16.255 inet6 fe80::20c:29ff:fe83:4910%em2 prefixlen 64 duplicated scopeid 0 3 enc0: flags=0<> mtu 1536 pflog0: flags=141 mtu 33200 groups: pflog carp1: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:01 carp: BACKUP carpdev em1 vhid 1 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:101%carp1 prefixlen 64 scopeid 0 7 inet 192.168.5.100 netmask 0xffffff00 broadcast 192.168.5.255 carp2: flags=8803 mtu 1500 lladdr 00:00:5e:00:01:02 carp: INIT carpdev em0 vhid 2 advbase 20 advskew 0

inet6 fe80::200:5eff:fe00:102%carp2 prefixlen 64 scopeid 0 8 inet 10.0.0.100 netmask 0xffffff00 broadcast 10.0.0.255 WAN arabirimine (em1) bağlı carp1 sanal interface # cat /etc/hostname.carp1 inet 192.168.5.100 255.255.255.0 192.168.5.255 vhid 1 advbase 20 advskew 0 carpdev em1 pass benimgizliparolam LAN arabirimine (em0) bağlı carp1 sanal interface inet 10.0.0.100 255.255.255.0 10.0.0.255 vhid 2 advbase 20 advskew 0 carpdev em0 pass benimgizliparolam CARP işlemi için ihtiyacımız olan sistem ayarları # sysctl net.inet.ip.forwarding=1 net.inet.ip.forwarding: 0 -> 1 # sysctl -w net.inet.carp.allow=1 net.inet.carp.allow: 0 -> 1 # sysctl -w net.inet.carp.preempt=1 net.inet.carp.preempt: 0 -> 1 # sysctl -w net.inet.carp.log=1 net.inet.carp.log: 0 -> 1 Minimum pf.conf ayarları; # cat /etc/pf.conf # $OpenBSD: pf.conf,v 1.49 2009/09/17 06:39:03 jmc Exp $ # C EH TURKIYE # See pf.conf(5) for syntax and examples. # Remember to set net.inet.ip.forwarding=1 and/or net.inet6.ip6.forwarding=1 # in /etc/sysctl.conf if packets are to be forwarded between interfaces. # Ağ Arabirimleri IntIf= em0 ExtIf= em1 CarpIf= em2 PFSync= em2 #Network Tanımları CarpExt= {192.168.5.55, 192.168.5.66} CarpInt= {10.0.0.55, 10.0.0.66} IntNet= 10.0.0.0/24

pf.conf kuralları # CARP firewall failover kuralları pass quick log on $PFSync proto pfsync keep state (no-sync) pass in quick log on $ExtIf proto carp from $CarpExt to 224.0.0.18 keep state pass in quick log on $IntIf proto carp from $CarpInt to 224.0.0.18 keep state ### Network Address Translation match out log on egress from (self) to any tag EGRESS nat-to ($ExtIf:0) port 1024:65535 match out log on egress from $IntNet to any received-on $IntIf tag EGRESS nat-to carp1 port 1024:65535 set skip on lo in log (all) all # to establish keep-state pass out log (all) all # By default, do not permit remote connections to X11 block in on! lo0 proto tcp to port 6000:6010 Not:Minimum pf.conf ayarları ve kuralları her iki pf için yazılmalıdır. Fail over cluster Sistemin Test Edilmesi İstemciden www.cehturkiye.com adresine bağlantı kuruyoruz.bağlantı istekleri MASTER sunucu tarafından yönlendiriliyor. Şu an Master Firewall olarak master.cehturkiye.com firewall u devrede ; # ifconfig carp carp1: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:01 carp: MASTER carpdev em1 vhid 1 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:101%carp1 prefixlen 64 scopeid 0 6 inet 192.168.5.100 netmask 0xffffff00 broadcast 192.168.5.255 carp2: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:02 carp: MASTER carpdev em0 vhid 2 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:102%carp2 prefixlen 64 scopeid 0 7 inet 10.0.0.100 netmask 0xffffff00 broadcast 10.0.0.255 pfsync0: flags=41 mtu 1500 pfsync: syncdev: em2 maxupd: 128 defer: off pfsync

Master Firewall üzerinden,bakalım trafik geçiyor mu? # tcpdump -nn -ttt -i em0 host 10.0.0.11 and tcp port 80 tcpdump: listening on em0, link-type EN10MB Aug 16 17:20:16.736101 10.0.0.11.1477 > 83.66.140.10.80: P 3434076927:3434077718(791) ack 3491673519 win 64901 (DF) Aug 16 17:20:16.736107 10.0.0.11.1477 > 83.66.140.10.80: P 0:791(791) ack 1 win 64901 (DF) Aug 16 17:20:16.737067 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Aug 16 17:20:16.737074 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Aug 16 17:20:16.737079 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Aug 16 17:20:16.737092 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF)) Aug 16 17:20:16.916555 10.0.0.11.1477 > 83.66.140.10.80:. ack 4206 win 65535 (DF) Şimdi Master Firewall kapatıp, BACKUP Firewall durumunu gözlemleyelim. Master Firewall devre dışı kalınca, Backup firewall 20 saniye içerisinde otomotik olarak devreye girip carp: MASTER olarak hizmet vermeye başlayacak. master.cehturkiye.com devre dışı bırakıyoruz; # ifconfig em0 down # ifconfig em1 down Hostname i backup.cehturkiye.com olan Backup Firewall durumu # ifconfig carp carp1: flags=8843 mtu 1500 lladdr 00:00:5e:00:01:01 carp: MASTER carpdev em1 vhid 1 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:101%carp1 prefixlen 64 scopeid 0 7 inet 192.168.5.100 netmask 0xffffff00 broadcast 192.168.5.255 carp2: flags=8803 mtu 1500 lladdr 00:00:5e:00:01:02 carp: INIT carpdev em0 vhid 2 advbase 20 advskew 0 inet6 fe80::200:5eff:fe00:102%carp2 prefixlen 64 scopeid 0 8 inet 10.0.0.100 netmask 0xffffff00 broadcast 10.0.0.255

Bacup Firewall üzerinden,bakalım trafik geçiyor mu? # tcpdump -nn -ttt -i em0 host 10.0.0.11 and tcp port 80 tcpdump: listening on em0, link-type EN10MB Aug 16 17:20:16.736101 10.0.0.11.1477 > 83.66.140.10.80: P 3434076927:3434077718(791) ack 3491673519 win 64901 (DF) Aug 16 17:20:16.736107 10.0.0.11.1477 > 83.66.140.10.80: P 0:791(791) ack 1 win 64901 (DF) Aug 16 17:20:16.737067 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Aug 16 17:20:16.737074 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Aug 16 17:20:16.737079 83.66.140.10.80 > 10.0.0.11.1477:. ack 791 win 64909 (DF) Görüldüğü gibi Master Firewall devre dışı kalınca istemcilerin trafiği, Backup Firewall üzerinden devam ediyor. Cluster yapımız failover olarak bu haliyle muhteşem çalışıyor, bir firewall gidince yerini diğeri alıyor. Eklenecekler: OpenBSD PF Layer 2 Firewall ile CARP, pfsync yapılabilir mi? Referanslar; www.openbsd.org/faq/pf/carp.htm http://www.countersiege.com/doc/pfsync-carp/

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim