Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Firewall Builder: использование сетевых объектов

Рубрика: Firewall
Метки: | |
Воскресенье, 13 сентября 2009 г.
Просмотров: 9271
Подписаться на комментарии по RSS


В данной статье я продолжу рассказывать про отличную утилиту, которая поможет вам настроить различные файерволы. Мы уже знакомились с Firewall Builder, смотрим поиск по сайту. В данной статье я продемонстрирую как работать с объектами Network, Address Range и Groups of Objects.  

Network, Address Range Objects и Groups of Addresses Objects

Сетевой объект IPv4

сетевой объект  ipv4

Сетеевой объект описывает IP сеть или подсеть. Используйте пункт основного меню "Net Object / New Network" для создания объектов этого типа. В данном объекте нам доступны следующие поля:

  • Name -- Имя объекта
  • Address -- Адрес сети
  • Netmask -- Маска сети, в сочетании с адресом сети определяет подсеть.
  • Comment -- Место для комментария.

Давайте попробуем использовать данный сетевой объект в правиле на скриншоте ниже, и посмотрим каким образом это правило скомпилируется для различных платформ.

пример правила

Для iptables правило будет выглядеть таким образом.

$IPTABLES -A FORWARD -p tcp -m tcp -s 172.16.22.0/24 --dport 80 -m state --state NEW -j ACCEPT

Для PF вот так:

pass in quick inet proto tcp from 172.16.22.0/24 to any port 80 keep state
pass out quick inet proto tcp from 172.16.22.0/24 to any port 80 keep state

А вот таким образом правило будет выглядеть скомпилированное для акцесс листа Cisco IOS:

ip access-list extended outside_out
permit tcp 172.16.22.0 0.0.0.255 any eq 80 
exit

Теперь рассмотрим пример для Cisco ASA (PIX). Обратите внимание что в примере выше использовалась маска 0.0.0.255, а в этом все вернулось к стандартному виду 255.255.255.0.

access-list inside_acl_in permit tcp 172.16.22.0 255.255.255.0 any eq 80 
access-group inside_acl_in in interface inside

Сетевой объект IPv6

сетевой объект ipv6

Данный сетевой объект описывает подсети IPv6. В целом он похож на рассмотренный нами сетевой объект IPv4, за исключением того что мы указываем маску сети в виде количества битов. Для создания объекта используете меню "Net Object / New Network IPv6".

Давайте посмотрим на следующий пример правила в Firewall Builder и полученные скомпилированные правила для различных файерволов:

Пример для iptables:

$IP6TABLES -A FORWARD -p tcp -m tcp -s 2001:470:1f0e:162::/64 --dport 80 -m state --state NEW -j ACCEPT

Пример для PF:

pass in quick inet6 proto tcp from 2001:470:1f0e:162::/64 to any port 80 keep state
pass out quick inet6 proto tcp from 2001:470:1f0e:162::/64 to any port 80 keep state

Пример для Cisco IOS:

ipv6 access-list ipv6_outside_out
permit tcp 2001:470:1f0e:162::/64 any eq 80 
exit
interface eth0
ipv6 traffic-filter ipv6_outside_out out
exit

Для Cisco ASA (PIX) в Firewall Builder в настоящее время нет поддержки IPv6.

Объект Address Range

address range

Объект Address Range описывает некоторый диапазон IPv4 адресов. Для создания объекта используйте пункт меню  "New Object / New Address Range:

  • Name -- Имя объекта
  • Range start -- адрес начала диапазона адресов
  • Range end -- Конечный адрес
  • Comment -- поле комментария

Когда объект Address Range встречается в правиле, Firewall Builder заменяет его списком адресов, представленных в диапазоне. Программа пытается сгенерировать наиболее экономичное представление диапазона комбинирую подсети различной длины. Ещё раз посмотрите на объект, описанный выше. Он включает в себя диапазон адресов между 192.168.1.100 и 192.168.1.160.  И теперь посмотрите каким образом компилятор предобразовал данный диапазон для различных файерволов:

Для iptables:

$IPTABLES -A FORWARD -s 192.168.1.100/30 -m state --state NEW -j ACCEPT 
$IPTABLES -A FORWARD -s 192.168.1.104/29 -m state --state NEW -j ACCEPT 
$IPTABLES -A FORWARD -s 192.168.1.112/28 -m state --state NEW -j ACCEPT 
$IPTABLES -A FORWARD -s 192.168.1.128/27 -m state --state NEW -j ACCEPT 
$IPTABLES -A FORWARD -s 192.168.1.160 -m state --state NEW -j ACCEPT

Представление в PF:

table <tbl.r0.s> { 192.168.1.100/30 , 192.168.1.104/29 , 192.168.1.112/28 , 192.168.1.128/27 , 192.168.1.160 } 
pass in quick inet from <tbl.r0.s> to any keep state

То же правило для Cisco IOS:

ip access-list extended inside_in
! 
! Rule 0 (global)
! 
! 
permit ip 192.168.1.100 0.0.0.3 any 
permit ip 192.168.1.104 0.0.0.7 any 
permit ip 192.168.1.112 0.0.0.15 any 
permit ip 192.168.1.128 0.0.0.31 any 
permit ip host 192.168.1.160 any 
exit

Группа объектов

группа объектов

Группа объектов может содержать в себе такие объекты как Hosts, Networks, Address Ranges, Firewalls и прочее. Создать данный объект можно используя меню "New Obejct / New Obejct Group". Объекты в группу могут быть добавлены либо простым перетаскиванием из дерева объектов, либо с помощью меню.

Интересное

Если вам необходимы грецкие орехи, миндаль, любые сухофрукты в больших количествах, я рекомендую обратиться в компанию "ЕВРООРЕХ". Мы давно и плодотворно сотрудничаем с данным поставщиком, и абсолютно всем довольны.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)