Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Использование объектов DNS в Firewall Builder

Рубрика: Firewall
Метки: | |
Воскресенье, 21 февраля 2010 г.
Просмотров: 8171
Подписаться на комментарии по RSS


Данная статья продолжает серию статей о программе Firewall Builder. Я покажу как создать правило файервола, содержащее A запись DNS.

Объект "DNS Name"

Объект DNS Name представляет собой "A" или "AAAА" DNS запись. Объект резолвится в IP адрес либо на этапе компиляции, либо на этапе запуска. Объект резолвится либо в IPv4 либо в IPv6 адрес, в зависимости от того, в каком наборе правил он используется. В случае если объект используется в смешанном окружении (IPv4+IPv6), компилятор будет резолвить объект дважды используя различные запросы.

Окно объекта DNS Name выглядит следующим образом:

  • Name: Имя объектаThe name of the DNS Name object
  • DNS Record: DNS запись.
  • Compile Time / Run Time: Определяет когда нужно резолвить A запись в IP адрес: на этапе компиляции или на этапе запуска скрипта (run time).
  • Comment: Комметарий в свободной форме

Теперь для закрепления материала разберем конкретный пример. В этом примере мы создали объект DNS указывающий на сайт проекта Firewall Builder - www.fwbuilder.org. IPv6 адрес данного сервара доступен по адресу "ipv6.fwbuilder.org", поэтому нам необходимо добавить второй объект DNS Name для IPv6.

Давайте посмотрим как следующее простое правило будет выглядеть для iptables и PF, в случае ресолвинга на этапе компиляции и на этапе запуска.

 

DNS Name Compile Time в iptables

# Rule 0 (global)  
#  
$IPTABLES -A FORWARD  -d 70.85.175.170  -m state --state NEW  -j ACCEPT

В данном простейшем примере компилятор просто преобразовал имя "www.fwbuilder.org" в его IP адрес и использовал данный адрес в команде iptables.

 

DNS Name Compile Time в PF

# Rule  0 (global)  
#   
pass in   quick inet  from any  to 70.85.175.170 keep state

Аналогично примеру выше компилятор выполнил преобразование и поместил адрес в сгенерированный файл pf.conf.

 

DNS Name Run Time в iptables

# Rule 0 (global)  
#   
$IPTABLES -A FORWARD  -d www.fwbuilder.org -m state --state NEW  -j ACCEPT

В данном режиме компилятор не выполнил преобразование адреса и поместил A запись объекта в правило iptables. Для политики IPv6 правило выглядело бы следующим образом

# Rule 0 (global)  
#   
$IP6TABLES -A FORWARD  -d ipv6.fwbuilder.org -m state --state NEW  -j ACCEPT

 

DNS Name Run Time в PF

# Rule  0 (global)  
#  
pass in   quick inet  from any  to www.fwbuilder.org keep state  
pass out  quick inet  from any  to www.fwbuilder.org keep state

Аналогично примеру выше компилятор не стал производить преобразование и поместил A запись в правило.

 

 

Полезные ссылки:

В последнее время различных блогов становиться очень и очень много, каждый ребенок похоже заводит себе по паре блогов, особенна популярна SEO тематика, что и понятно, порог вхождения довольно низок, сателлитов наклеепать взяв контент из сканированной книги любой недоумок может. Среди такого разнообразия найти действительно полезные блоги бывает очень сложно, поэтому хочу поделиться ссылкой на понравившийся мне seo-блог. Там бывает проскакивают полезные идеи и темы.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)