Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2

Рубрика: Firewall
Метки: | | |
Четверг, 11 февраля 2010 г.
Просмотров: 9029
Подписаться на комментарии по RSS

Первая часть данной статьи тут.

Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:

-A INPUT -i eth0 -j INBOUND 
   -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT 
   -A INBOUND -j LSI

Ещё раз посмотрим на скриншот правил:

Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound".

Данный скриншот демонстрирует правила, созданные в наборе политик "INBOUND". Правило #0 содержит объект "custo-0-tcp", который создан в комбинации протокола "tcp" и состояний "RELATED,ESTABLISHED". Данный объект показан на следующем скриншоте:

Правило #1 в INBOUND содержит объект, основанный на протоколе udp и состояниях "ESTABLISHED,RELATED". Другие правила в наборе INBOUND представляют собой оригинальные правила из цепочки INBOUND и относятся к пакетам приходящим из локальной сети. Легко увидеть что правила #2-4 относятся к одному и тому же адресу назначения и источника, но относятся к разным службам. При этом правило #2 относится ко всем службам, что означает что правила #3 и 4 никогда не будут использованы. Fwbuilder обнаружит данную проблему автоматически при компиляции данной политики.

Все пакеты, не попадающие под действие правил в цепочке INBOUND дойдут до последнего правила и перенаправятмся в набор LSI. Набор политик LSI ведет логи различных пакетов и отбрасывает их:

 

Ограничения использования

Импорт политик iptables в fwbuilder имеет ограничения. Основное ограничение заключается в том, что он может обрабатывать только определенные модули iptables. Так как подобных модулей существует очень большое количество поддерживать их все не представляется возможным. Однако основной функционал и самые популярные модули поддерживаются в полном объеме. Хотя при импортировании fwbuilder пытается быть как можно ближе к оригинальной конфигурации вам нужно очень внимательно просмотреть получившиеся правила и при необходимости отредактировать их.

 

Импортирование конфигурации списка контроля доступа Cisco IOS

Имортирование конфигурации IOS намного более простой процесс, так как тут невозможно ветвление. IOS имеет огромное количество различных команд и конфигураций, однако fwbuilder может обрабатывать только списки контроля доступа. Другие команды будут игнорироваться. Однако не нужно редактировать экспортированную конфигурацию IOS перед импортом в fwbuilder, так как там содержиться информация о имени роутера и его интерфейсах. Данная информация будет использована fwbuilder при созднании новых объектов.

Как и при импорте конфига iptables, мы начинаем с меню "File/Import Policy" и указываем имя файла. В поле "Platform" выберите "Cisco IOS". Нажмите "Next" для запуска процесса импортирования.

Программа определила имя роутера и его интерфейсы, создала объекты интерфейсов с их IP адресами и далее создала нужные объекты и службы. Конфигурация моего тестового роутера содержит следующие строки ( это только фрагменты):

interface FastEthernet0/0
      ip address 192.168.100.100 255.255.255.0 secondary
      ip address 10.3.14.201 255.255.255.0
      ip access-group fe0_0_acl_in in
      ip access-group fe0_0_acl_out out
      no ip mroute-cache
      duplex auto
      speed auto
      !
      interface Ethernet1/0
      description Test [test] {test} (and one more test) /weird:characters#$%^&*/
      ip address 192.168.171.2 255.255.255.0
      ip access-group e1_0_acl_in in
      ip access-group e1_0_acl_out out
      no ip mroute-cache
      ip ospf cost 65000
      half-duplex
      crypto map real
      
      !################################################################
      ip access-list extended e1_0_acl_in
      deny ip any any fragments
      permit tcp host 10.3.14.40 host 192.168.171.2 eq 22 log
      permit tcp host 10.3.14.40 host 10.3.14.201 eq 22 log
      permit ip any 10.3.14.0 0.0.0.255 log
      deny ip any any log
      !################################################################
      ip access-list extended e1_0_acl_out
      permit ip 10.3.14.0 0.0.0.255 any log
      deny ip any any log

Парсер определил комментарии и пропустил их, но добавил описания интерфейсов из конфига в комментарии соответствующих сетевых объектов..

Оригинальная конфигурация использовали также один access list "133" для двух интерфейсов:

interface Ethernet1/1
   ip address 10.10.10.10 255.255.255.0
   no ip mroute-cache
   !
   ! Note - the same access list applied both in and out
   ip access-group 133 in
   ip access-group 133 out
   no shutdown
   half-duplex
   !
   interface Ethernet1/2
   ip address 10.10.20.20 255.255.255.0
   no ip mroute-cache
   !
   ! Note - the same access list applied both in and out
   ! the same list is applied to eth 1/1 and eth 1/2
   ip access-group 133 in
   ip access-group 133 out
   no shutdown
   half-duplex
   !

Программа определила это и создала групповой объект "intf-acl_133" с двумя интерфейсами в качестве членов группы:

Затем данная группа была использована в правилах #0, 1 и 2.

На этом мы заканчиваем работать с импортом политик Firewall Builder.

 

 

Полезные ссылки:

Качественное продвижение сайта вашей компании по разумным ценам.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)