Pages

2011/04/13

Vyattaで作るTransparent FireWall その1/n

Linux-Debianベースのルータアプライアンス、VyattaTransparent FireWallを構築する手順。
 

Transparent FireWallは透過型、トランスペアレント型とか言われますね。
便利な構成が作れますが、Vyattaでの作り方は公式のFireWall Reference Guideでもちゃんと取り扱っていません。
基本過ぎるから?周囲を見るとそうでもないように思うけど。。
 

ということで数回に分けて構築方法をまとめてみます。
 


Transparent FireWallについて簡単に


透過型の言葉を知っていれば構成も知っていると思うけども一応おさらい。
 

NAT型構成


よくあるNAT型のFireWallは、リクエストをNATする形でDMZのサーバに渡す構成。Public側とDMZのサブネットが違います
DMZのサーバはPrivate Addressを振っておき、NATで中継されるパケットをルールに沿ってフィルタリングします。

画像:NAT型
 

透過型構成


一方Transparent型は同一のサブネットで挟むように設置します。
既存のネットワーク構成を変更しないように導入したり、DMZのサーバにパブリックアドレスを付与したい時などに使われます。
画像:透過型
 
 

NAT型を言い換えると、入口/出口がはっきり区別される構成であり、入出力それぞれに対してポリシーを定義するよう設定します。

対する透過型は入出力の区別はしません、あくまで通過するパケットの送信元/送信先情報などに対してポリシーを適用する構成になります。

いうたらL2を中継/変換してるだけですが、だからこそL3より上位のレイヤに対しては居ないように振る舞えるという格好です。
 
 


次はVyattaでL2ブリッジ
 

1 件のコメント:

Vyattaで作るTransparent FireWall その2/n #vyatta | SawanoBlog 2G さんのコメント...

[...] 前回は透過型構成の説明をしたので、ここからVyattaの設定を入れていきます。   [...]

コメントを投稿