Firewall
A Rede
A rede está configurada da seguinte forma:
[ COMP1 ] [ COMP3 ] | | ---+------+-----+------- xl0 [ OpenBSD ] fxp0 -------- ( Internet ) | [ COMP2 ]
Existem vários computadores na rede interna; o diagrama mostra apenas três, mas o número real é irrelevante. Esses computadores são estações de trabalho usadas para navegar na Internet, ler mensagens de correio eletrônico, usar programas de bate-papo virtual, etc., exceto COMP3, que também roda um pequeno servidor Web. A rede interna usa o bloco de rede 192.168.0.0 / 255.255.255.0.
O firewall OpenBSD é um Celeron 300 com duas placas de rede: uma 3com 3c905B (xl0) e uma Intel EtherExpress Pro/100 (fxp0). Ele possui uma conexão a cabo com a Internet e faz NAT para compartilhar o acesso com a rede interna. O endereço IP na interface externa é atribuído dinamicamente pelo Provedor de Acesso à Internet.
O Objetivo
Os Objetivos são:
Prover acesso irrestrito à Internet para a rede interna. Usar "negar por padrão" como política padrão do conjunto de regras. Permitir o seguinte tráfego vindo da Internet para o firewall: SSH (porta TCP 22): será utilizado para manutenção remota do firewall. Auth/Ident (porta TCP 113): utilizado por alguns serviços como SMTP e IRC. Requisições de Eco ICMP: o tipo de pacote ICMP usado pelo comando ping(8). Redirecionar tentativas de conexão na porta TCP 80 (que são tentativas de conexão a um servidor Web) para o computador COMP3. E também permitir tráfego TCP na porta 80 destinado a COMP3 através do firewall. Registrar as estatísticas de filtragem na interface externa. Por padrão, responder os pacotes bloqueados com um pacote TCP RST ou ICMP de Inalcançável. Tornar o conjunto de regras o mais simples possível, para facilitar a manutenção.
Preparação
Este documento assume que a máquina OpenBSD tenha sido corretamente configurada para