iT邦幫忙

0

這樣的防火牆設定是衝突?

各位前輩好,小弟最近在研究防火牆的設定,想請教各位前輩下方截圖的某線路設定:
http://ithelp.ithome.com.tw/upload/images/20161202/20102073BbqqVBZEhe.png

其中,序號12與14是否衝突?
我知道執行的順序是12>14,既然如此,14還需要再加上DNS的服務嗎?
(這是前人設定的,原本12與14兩個都是"允許"狀態,近日才發現在nslookup時.....)

備註:
mail_server 設定 固定IP-1(外)轉區網IP-1(內),上有:AD+Mail+DNS內1
web_server 設定 固定IP-2(外)轉區網IP-2(內),上有:DNS外+IIS+防毒

謝謝各位!

zyman2008 iT邦大師 8 級 ‧ 2016-12-02 20:55:47 檢舉
看到你的第14條的POP3 和 DNS, 心都涼了一半了. 請保重.
夏威夷 iT邦新手 5 級 ‧ 2016-12-05 11:54:06 檢舉
謝謝前輩的關心 :)
我一定要努力到最後一刻!
夏威夷 iT邦新手 5 級 ‧ 2016-12-05 15:39:54 檢舉
剛剛發現一個很詭譎的事,如果小弟把 "烏克蘭" 這個國家加到規則11,
我司的手機Exchange收信就無法使用(卻可以發),公司內電腦收發也可以...
當下 去TWNIC DNS 設定檢測服務結果是找不到DNS......
4
做工仔人!
iT邦高手 1 級 ‧ 2016-12-02 17:11:02

防火牆的規則比對:是由上而下的比對方式.
只要先符合規則就會執行.
以樓主的資料為例:
在規則12 時, 所有來自外部要向 MAIL SERVER 做 DNS 服務需求時,被設定為"DENY"之後.
規則14 中即使是將 ANY TO MAIL SERVER 的DNS 服務設定為"同意"都 => 無效.(但是其他的服務是有效的)
反過來:如果將規則14上移到規則12 之前. 那就變成規則12中的"DENY" =>無效 !!

看更多先前的回應...收起先前的回應...
夏威夷 iT邦新手 5 級 ‧ 2016-12-02 17:29:35 檢舉

謝謝 做工仔人! 前輩馬上回應,
所以,我將規則14中的DNS移除,不影響現有運作狀況,對嗎?

當初設這樣的用意,不解阿...

可以!!
要看 MAIL SERVER 有沒有提供外部DNS SERVER的查詢功能 ?
如果有,而且有效!! (可以從 www.twnic.net 的whois 查詢到)
那就應該是將規則12移除或停用,而不是移除規則14的dns !!(因為管理方便,一看就知道mail server對外提供那些服務.)

夏威夷 iT邦新手 5 級 ‧ 2016-12-02 18:05:57 檢舉

因為...如果允許了mail_server的DNS服務, nslookup mail_server 的固定IP,結果是網域內部的所有資訊(IP都是192.168.X.X)......

而真正供應讓外部查詢的 是 web_server (它上面有外部DNS服務)

msnman iT邦研究生 2 級 ‧ 2016-12-06 14:31:47 檢舉

12條的DNS要移除,因為MailServer如果沒有辦法與外界解析DNS,就沒有辦法寄信。

0
mytiny
iT邦大師 1 級 ‧ 2016-12-02 18:44:53

版大後來有想通前人為何這樣設定的原因嗎?
小弟按截圖來看,其實不難明白前人的用意
主要是因為貴司過去有受過DDoS攻擊
而且非常可能是DNS放大攻擊
只是猜測這樣防護可能沒有用

版大如果要拿掉14的DNS,建議同時拿掉12
因為越簡潔越明確的防火牆政策
理當會降低負擔,提升防火牆效能,且易於維護
同時前人關於DDoS的防護政策做的方式不對
此防火牆有專屬防DDoS的政策位置
還請在相關正確的位置處理

夏威夷 iT邦新手 5 級 ‧ 2016-12-05 09:49:03 檢舉

謝謝mytiny前輩的回覆,
我來找看看哪裡是專屬防DDoS的政策位置...

1
goodnight
iT邦研究生 4 級 ‧ 2016-12-04 22:43:43

第12條要放在最後, 看你這個樣子, 你可能對防火牆不熟, 千萬不要亂設, 建議內對外先設定全部通過, 外對內, 先設定要通過的服務給對應的 ip, 然後最後一條設全部拒絕通過

另外, 我大致上說明一下
內對外: 內部網路對外部通道, 一般公司幾乎沒有什麼管制, 有些會管制不可使用 wenmail 和 facebook, drobox 等等

外對內比較複雜, 要看你有沒有在區網內架設 mail server 及 網站或 ftp
外對內要先設定 ip 對應, 例如 ftp+web 是 192.168.0.100
那麼就要另外設定服務群組, 例: 群組名為 webserver , 服務 ftp, http, dns, ping
外對內時, 直接對應到 192.168.0.100, 服務為 webserver
mail server 是 192.168.0.101. 開放服務: https, smtp, smtps, pop3, pop3s
到時候再對應 ip
建議 web server + ftp 一組, mail server 獨立, 並開放 https
最後一條才是 all all 禁止, 也就是說, 以上指定的都通過, 沒有指定的, 全都拒絕

通常 webserver 和 mail server 的外部 ip 會分開, 假設你有三個 ip
假設
170.110.10.1 : wan : 所有內部員工對外的 ip
170.110.10.2 : ftp + web server 此時 170.110.10.2 要對應到 web server 的 ip, 而 web server 的內對外要指定由 170.119.10.2 的 ip 送資料
170.110.10.3 : mail server 此時 170.110.10.3 要對應到 mail server 的 ip, 而 mail server 的內對外要指定由 170.119.10.3 的 ip 送資料

如果新購的防火牆., 可以請廠商幫你設定, 再慢慢看懂手冊, 建議一定要熟讀手冊, 才不會亂設防火牆, 導致功能失調, 環境不正常

看更多先前的回應...收起先前的回應...

goodnight大大寫得真詳細。非常明瞭易懂。
只是我對於下述有個疑惑,
『170.110.10.1 : wan : 所有內部員工對外的 ip
170.110.10.2 : ftp + web server 此時 170.110.10.2 要對應到 web server 的 ip, 而 web server 的內對外要指定由 170.119.10.2 的 ip 送資料
170.110.10.3 : mail server 此時 170.110.10.3 要對應到 mail server 的 ip, 而 mail server 的內對外要指定由 170.119.10.3 的 ip 送資料』

防火牆有辦法特別指定由哪個外部IP送資料嗎?
是從WAN1~...去設定的嗎?

感恩。

夏威夷 iT邦新手 5 級 ‧ 2016-12-05 11:48:12 檢舉

謝謝goodnight前輩回應,防火牆這部分是真的不熟悉,以至於在沒有確切了解會有什麼影響的情形下,遲遲不敢異動...
看了前人的規則,公司有兩條對外網路(稱為1.2線),1線是給伺服器用,2線是給同仁上網用(用兩條是另外的故事)

防火牆策略有三個規則組: 1線 進/出 與 2線 出

看著前人設定原則理解出的是:deny some and allow some, then others deny(隱性防火牆策略有開啟)
前輩所敘述的是這樣嗎:allow some then deny others

小弟服務的公司有在區網路架設mailserver和webserver,截圖的兩個目的名稱就是以虛擬IP設定的
http://ithelp.ithome.com.tw/upload/images/20161205/201020735pAa6SLvkC.png

夏威夷 iT邦新手 5 級 ‧ 2016-12-05 12:00:48 檢舉

people10519前輩,goodnight前輩說的應是指向(?)
像小弟服務的公司,理解到是設定[虛擬IP]來達成
(截圖中,[目的]的mail_server和web_server)

goodnight iT邦研究生 4 級 ‧ 2016-12-11 18:32:36 檢舉

people10519
內對外, 可以指定, 但要看你公司防火牆條例設定, 一般是在內對外時, 設定ip, 因為 wan1, wan2 的 ip 組一定會不一樣, 所以你能指定哪些 ip 從 wan1 或 wan2 出去, 但從 wan1 出去的 ip 才能指定從 wan1 的某一個 ip 連出去

goodnight iT邦研究生 4 級 ‧ 2016-12-11 18:38:43 檢舉

我公司的 mail 就是有指定, 你參考看看, 如果不明白, 找一下手冊或電聯設備商, 如果可以, 提供一下廠牌和型號
我這個條例的虛擬主機指定從 wan1 連出去, 但 wan 1有三個 ip , 所以在第二張圖裡的 ip, 就是我指定由這個 ip出去
http://ithelp.ithome.com.tw/upload/images/20161211/20001633dzACDdaexC.jpg

http://ithelp.ithome.com.tw/upload/images/20161211/20001633q9OhAIXJjx.jpg

goodnight iT邦研究生 4 級 ‧ 2016-12-11 18:43:34 檢舉

夏威夷, 沒錯, 你說的隱性條例, 就是我說的最後一條, 沒有指定的, 全部拒絕

goodnight iT邦研究生 4 級 ‧ 2016-12-11 18:50:13 檢舉

夏威夷, 第12條應該是不用設定, 建議你mail 條例裡多開放 dns port就好, 如果你怕有問題, 先暫時把條例設為停用

goodnight iT邦研究生 4 級 ‧ 2016-12-11 19:05:33 檢舉

另外說明一下, 什麼是 wan ip, 以中華電信來說, 一個網路有三個ip, 其中一個 ip 我們都會指定給防火牆, 做為進出的 ip, 這時這個 ip 就叫 wan ip, 我的習慣是最後一組, 其實哪一組都沒差, 剩下的兩組ip 就會被一般人拿來架 ftp , web , mail, dns 等等, web server 比較沒差, 但 ftp 和 mail 最好能指定一下從哪個 ip 連出去, 這樣對方的 server 比較不會錯亂
所以當你設好進出的條例後, 連出去的條例會先指定 WAN1或 WAN2連出, 然後就可以另外指定由哪個 WAN 的 IP 連出

夏威夷 iT邦新手 5 級 ‧ 2016-12-15 14:52:36 檢舉

謝謝 goodnight 前輩回應,目前我確實是把第12條停用,停用後防火牆的loading少了很多,郵件連線狀況好多了(垃圾信少很多)
還是得理解出最正統的設定方法,以免哪天又被其它方式攻擊..

goodnight iT邦研究生 4 級 ‧ 2016-12-30 19:43:04 檢舉

多看手冊, 多測試, 因為你的好像沒有中文界面, 比較辛苦, 最重要是要知道條例運作模式, 停用的條例, 其實還是有作用的喔, 只是跳過去的, 有時還是會不正常, 這可能是各家防火牆判斷的邏輯, 可以刪除確定無用的條例, 在刪除無用的條例前, 建議先做設定備份, 夢一出問題了, 可以還原

我要發表回答

立即登入回答