Alle Logginformationen des ISDN-Routers werden per syslog an den Bastion Host weitergeleitet.
Der BinGO!-PC hat als Sicherheitsfunktion Network Address Translation (NAT) integriert. Durch Aktivieren
von NAT auf dem WAN-Interface (ISDN-Interface) wird die interne Netzstruktur vor der Außenwelt verborgen. Von
außen ist nur der Router direkt zu erreichen. Die gewünschten Dienste (z.B. SMTP, SSH) werden durch den
NAT-Mechanismus auf den Bastion Host durchgeschleußt. Dies ist von außen aber nicht zu erkennen.
Um diese Konfiguration zu realisieren, sind folgende Schritte notwendig:
Im Hauptmenu (siehe Abbildung 4.1) System auswählen. Anschließend
die Paßwörter der User admin, read und write ändern. Auch das
HTTP Server Password sollte geändert werden.
4.1
Die Einstellungen zur Aktivierung des externen System Logging werden ebenfalls im Menu
System vorgenommen. Im Untermenu External System Logging kann ein externer
Rechner angegeben werden, an den Systeminformationen gesendet werden sollen. Dabei
kann man verschiedene Level auswählen (info, debug, usw.). Das Level bestimmt
wie ausführlich die Logginformationen sind.
Damit der Bastion Host die Logginginformationen in ein eigenes File speichert,
muß in der Datei /etc/syslog.conf ein entsprechender Eintrag hinzugefügt
werden, z.B.:
local4.debug /var/log/brick
In diesem Beispiel wurde als Level debug gewählt und die Informationen werden durch den
Syslogdaemon in die Datei /var/log/brick geschrieben.
Im Hauptmenu CM-BNC/TP, Ethernet auswählen. Anschließend sind folgende Einträge
zu machen:
Das WAN-Interface kann im Hauptmenu unter CM-1BRI, ISDN S0 konfiguriert werden.
Die Default-Einstellungen werden übernommen. Optional kann im Untermenu Advanced Settings
ein Fernwartungszugang über eine ISDN-Leitung konfiguriert werden.
Damit die BinGO bei Bedarf automatisch eine Verbindung zu einem ISP aufbaut muß im Hautmenu unter WAN Partner ein neues ISDN-Interface eingerichtet werden. Zur Erzeugung eines neuen Interface wählt man im WAN-Partner-Menu ADD. Anschließend erscheint die in Abbildung 4.2 dargestellte Eingabemaske. Die nachfolgenden Einträge konfigurieren einen Internet-Dialup-Zugang.
Soll die Authentifizierung nicht durch die ISDN-Rufnummer erfolgen, müssen in diesem
Untermenu die Benutzerdaten eingetragen werden, siehe Abbildung 4.3.
Die einzelnen Felder haben folgende Bedeutungen:
In diesem Untermenu besteht die Möglichkeit, weitere Eigenschaften für das
WAN-Interface festzulegen, wie z.B. die Aktivierung von Callback oder Channel-Bundling.
Eine Einstellung sollte auf jeden Fall gesetzt werden: Static Short Hold.
Hier wird die Anzahl an Sekunden angegeben, nach denen die BinGO die Verbindung
trennen soll, wenn keine Daten mehr über die Leitung fließen.
Hier wird die IP-Konfiguration des LAN-Interface vorgenommen.
Folgende Einträge sind durchzuführen:
Zur Konfiguration von Network-Address-Translation muß man im Hautmenu den
Punkt IP auswählen. Im folgenden Menu ist der Punkt Network Address Translation
aufzurufen und das Interface auswählen, das für NAT konfiguriert werden soll. In unserem
Fall das WAN-Interface CameloT. Anschließend Network Address Translation auf
,,on`` setzen. Als nächstes auf ADD gehen und in der jetzt erscheinenden
Eingabemaske Service, Protokoll, Port und Destination eingeben.
Abbildung 4.4 zeigt die durch NAT von außen zulässigen Dienste (22/tcp ist für SSH).
Alle anderen Verbindungsanfragen von außen werden abgewiesen.
Um auszuschließen, daß interne Rechner direkte Verbindungen zum Internet aufbauen können,
wird im Hautmenu wieder IP ausgewählt und als nächstes Access Lists.
Dann wird der Menupunkt Filter aufgerufen und mit ADD ein neuer
Filter erzeugt. Abbildung 4.5 zeigt die Eintragungen für einen
möglichen Filter.
Nachdem man die Filter erzeugt hat, muß man im nächsten Menupunkt Rules
Regeln definieren, die beschreiben, was mit Paketen passieren soll, auf die
die Filter zutreffen bzw. was mit Pakten geschehen soll, wenn die Filter nicht zutreffen.
Ich habe folgende Regeln definiert:
Im letzten Schritt muß noch das Interface, für das die Rules gelten sollen, festgelegt
werden. Nach Verlassen des Rules-Menu kann der Punkt Interfaces ausgewählt werden.
Als Interface wird das LAN-Interface des Routers en1 gewählt und als erste Rule die eingetragen, die zuvor auch
als erste erzeugt wurde. Das ist wichtig, da sonst nicht der gewünschte Effekt
erzielt werden kann.4.3 Jetzt können interne Rechner nur noch über den Proxy-Server Verbindungen ins Internet
aufbauen.
Damit ist die Konfiguration aber noch nicht ganz fertig. Im Menu IP muß man unter Routing
noch die Default-Route setzen und unter Static Settings den eigenen Domainnamen
und die IP-Adresse des Nameservers eintragen (in unserem Fall die des Bastion Host).
Nun ist die Konfiguration des Routers abgeschlossen.