Einführung in die Bedienung des Vyatta Firewall-Templates

Auf dieser Seite wird das Vyatta Firewall-Template behandelt, das im Rahmen der Claranet Cloud als Service bereitgestellt wird.

IP-Adressen konfigurieren

Sobald Sie eine virtuelle Appliance erstellt, eine öffentliche IP-Adresse für die zu verwendende Appliance hinzugefügt und das Vyatta Image aus Ihrer Apps-Bibliothek hinzugefügt haben, klicken Sie auf das Konfigurationssymbol auf dem Image:

vyatta05_de.PNG

Wählen Sie die Registerkarte „Netzwerk“, klicken Sie auf die Registerkarte „Öffentlich“, wählen Sie die öffentliche IP-Adresse, die Sie zuweisen möchten, und klicken Sie auf „Ok“.

Wenn Vyatta als Einstellung für die Netzwerkschnittstelle NIC 1 das Private VLAN (anstelle der Standardeinstellung NIC 0) festlegen soll, damit die Vyatta NIC 1 die Standard-Gateway-Adresse für das Private VLAN übernimmt, gehen Sie bitte wie folgt vor:

  1. Wählen Sie die Registerkarte Default-Netzwerk aus.
  2. Löschen Sie die IP-Adresse (damit wird NIC 0 freigegeben).
  3. Fügen Sie mit der Schaltfläche Add icon eine neue Adresse hinzu.
  4. Wählen Sie die Standard-Gateway-Adresse (in der Regel 192.168.1.1).

Wenn Sie ein Private VLAN erstellt haben, wählen Sie die Standard-Gateway-Adresse aus, die Sie in diesem VLAN konfiguriert haben. Im Dialogfenster „Private VLAN Configuration“ können Sie übrigens für jedes Netzwerk außer für das Standard-Netzwerk die Standard-Gateway-Adresse ändern.

Add IP to the VM

Installieren Sie die virtuelle Appliance, um die virtuelle Maschine zu starten.

Die Firewall konfigurieren

Öffnen Sie in einem Internetbrowser die Seite https://<your_public_IP> mit den Zugangsdaten von der Seite Login Details Page.

Sie werden in die virtuelle Maschine der Vyatta Firewall eingeloggt.

Logging in

Empfohlener Schnellstart

Ändern Sie Ihr Passwort:

1.  expand: system → login → user → authentication
2.  Enter your password (accepts plaintext or encrypted) and click “set”
3.  Click the green “commit” button in the top right hand corner.
4.  Click “Save” to save your changes

Sie können auch die Befehlszeile verwenden:

1. set system login user vyatta authentication plaintext-password \<your_password_here\>
2. commit

Change password

Erstellen Sie eine generische Adressenübersetzung, damit die Maschinen auf das Internet zugreifen können

1.  expand: service → nat → rule
2.  type rule # 100 and press “set”
3.  expand: rule 100
4.  set as follows:
1.  outbound interface: eth0
2.  Description: Generic PAT
3.  type: masquerade
5.  click “set”
6.  click “Commit” green button in the top right hand corner
7.  Click “Save” to save your changes

Sie können auch die Befehlszeile verwenden:

1. edit service nat rule 100
2. set description "Generic PAT"
3. set outbound-interface eth0
4. set type masquerade
5. commit

Set up NAT

Erstellen Sie eine Port-Adressenübersetzung, um gemeinsame Dienste auf Hosts innerhalb des Netzwerks abzubilden

Wir wählen als Beispiel einen Linux-Server auf dem Standard-Netzwerk mit der IP-Adresse 192.168.1.3 und eine Adressenübersetzung von der öffentlichen Adresse der Firewall in den SSH-Dienst.

1.  Expand: service → nat → rule
2.  type rule # 10 and press “set”

Set the rule as follows:
3.  description: PAT to SSH onto 192.168.1.3
4.  protocol: tcp
5.  Inbound-Interface: eth0
6.  type: destination
7.  Click “set”

Then:
8.  expand “inside address” and create:
9.  Address: 192.168.1.3
10. port: 22
11. expand “destination address” and create:
12. Address: <your_public_ip>
13. port: 9022
14. Click “Commit” green button in the top right hand corner
15. Click “Save” to save your changes
16. Test this by trying an ssh session to port 9022

Sie können auch die Befehlszeile verwenden:

edit service nat rule 10
set description "PAT to SSH onto 192.168.1.3"
set destination address 195.157.12.15
set destination port 9022
set inbound-interface eth0
set inside-address address 192.168.1.3
set inside-address port 22
set protocol tcp
set type destination
commit

Testen Sie mit den folgenden Eingaben:

ssh sysadmin@195.157.12.15 -p 9022
sysadmin@195.157.12.15's password: \<enter the password\>

Daraufhin sollte die folgende Meldung angezeigt werden:

Welcome to Ubuntu 11.10 (GNU/Linux 3.0.0-12-server x86_64)

Set up PAT

Zonenbasierte Firewall erstellen

Angenommen, Sie möchten allen ausgehenden Datenverkehr von der vertrauenswürdigen Seite (LAN-Seite) des Netzwerks zum Rest der Welt zulassen, aber nur bestimmten eingehenden Datenverkehr von der nicht vertrauenswürdigen Seite (WAN-Seite) des Netzwerks zulassen.

1. Expand Firewall → name and type “LAN2WAN” and click set.

Name Firewall Rule

2. Change “default-action” to accept and type description “LAN to WAN traffic”. Click Set.

Default action

3.  Expand Firewall → name and type “WAN2LAN” and click set
4. Change “default-action” to drop and type description “WAN to LAN traffic”. Click Set 
5.  Expand Firewall → name → WAN2LAN → rule, type “1” in the rule box and click Set. 
6.  In rule 1, change action to “accept”, protocol to “icmp” and description to “Sample rule to allow ping replies” and click Set.

ICMP rule

7.  Expand Firewall → name → WAN2LAN → rule → 1 → icmp and click the create button.
8.  Change type-name to “echo-reply” and click Set.
9. Expand Firewall → name → WAN2LAN → rule, type 5 in the rule box and click Set 
10. In rule 5, change action to “accept”, protocol to “tcp” and description to “Allow PAT'd SSH” and click Set

SSH rule

11. Expand Firewall → name → WAN2LAN → rule → 5 → destination and click the create button
12. In the port box type 9022 and click Set 
13. Expand Firewall → name → WAN2LAN → rule, type 100 in the rule box and click Set 
14. In rule 100, change action to “accept” and description to “Allow established traffic” and click Set
15. Expand Firewall → name → WAN2LAN → rule → 100 → state and tick the box saying “Established” and click Set

Allow established rule

16. Expand zone-policy → Zone and type “WAN” and click create
17. Give it a description such as “WAN zone” and click the tick box next to “eth0” and click Set
18. Expand zone-policy → Zone and type “LAN” and click create
19. Give it a description such as “LAN zone” and click the tick box next to “eth1” and click Set

Zones

20. Expand zone-policy → zone → LAN → from and type “WAN” and click set
21. Expand zone-policy → zone → LAN → from → WAN → firewall and click “create”
22. In the drop down box select WAN2LAN and click set
23. Expand zone-policy → zone → WAN → from and type “LAN” and click set
24. Expand zone-policy → zone → WAN → from → LAN → firewall and click “create”
25. In the drop down box select LAN2WAN and click set.

Policies

26. Click commit
27. Click save

Sie können auch die Befehlszeile verwenden:

edit firewall name LAN2WAN set default-action accept set description “LAN to WAN traffic” exit
edit firewall name WAN2LAN set default-action drop set description “WAN to LAN traffic”
edit rule 1 
set description “Sample rule to allow ping replies” 
set action accept 
set protocol icmp 
set icmp type-name echo-reply
exit
edit firewall name WAN2LAN rule 5
set description “Allow PAT'd SSH”
set action accept set protocol tcp set destination port 9022
exit
edit firewall name WAN2LAN rule 100
set description “Allow established traffic”
set state established enabled exit
edit zone-policy zone LAN
set description LAN
set interface eth1 exit
edit zone-policy zone WAN
set description WAN
set interface eth0 exit
set zone-policy zone LAN from WAN firewall name WAN2LAN
set zone-policy zone WAN from LAN firewall name LAN2WAN
commit