Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2
Метки: cisco | firewall | iptables | Linux
Четверг, 11 февраля 2010 г.
Просмотров: 9029
Подписаться на комментарии по RSS
Первая часть данной статьи тут.
Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:
-A INPUT -i eth0 -j INBOUND -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT -A INBOUND -j LSI
Ещё раз посмотрим на скриншот правил:
Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound".
Данный скриншот демонстрирует правила, созданные в наборе политик "INBOUND". Правило #0 содержит объект "custo-0-tcp", который создан в комбинации протокола "tcp" и состояний "RELATED,ESTABLISHED". Данный объект показан на следующем скриншоте:
Правило #1 в INBOUND содержит объект, основанный на протоколе udp и состояниях "ESTABLISHED,RELATED". Другие правила в наборе INBOUND представляют собой оригинальные правила из цепочки INBOUND и относятся к пакетам приходящим из локальной сети. Легко увидеть что правила #2-4 относятся к одному и тому же адресу назначения и источника, но относятся к разным службам. При этом правило #2 относится ко всем службам, что означает что правила #3 и 4 никогда не будут использованы. Fwbuilder обнаружит данную проблему автоматически при компиляции данной политики.
Все пакеты, не попадающие под действие правил в цепочке INBOUND дойдут до последнего правила и перенаправятмся в набор LSI. Набор политик LSI ведет логи различных пакетов и отбрасывает их:
Ограничения использования
Импорт политик iptables в fwbuilder имеет ограничения. Основное ограничение заключается в том, что он может обрабатывать только определенные модули iptables. Так как подобных модулей существует очень большое количество поддерживать их все не представляется возможным. Однако основной функционал и самые популярные модули поддерживаются в полном объеме. Хотя при импортировании fwbuilder пытается быть как можно ближе к оригинальной конфигурации вам нужно очень внимательно просмотреть получившиеся правила и при необходимости отредактировать их.
Импортирование конфигурации списка контроля доступа Cisco IOS
Имортирование конфигурации IOS намного более простой процесс, так как тут невозможно ветвление. IOS имеет огромное количество различных команд и конфигураций, однако fwbuilder может обрабатывать только списки контроля доступа. Другие команды будут игнорироваться. Однако не нужно редактировать экспортированную конфигурацию IOS перед импортом в fwbuilder, так как там содержиться информация о имени роутера и его интерфейсах. Данная информация будет использована fwbuilder при созднании новых объектов.
Как и при импорте конфига iptables, мы начинаем с меню "File/Import Policy" и указываем имя файла. В поле "Platform" выберите "Cisco IOS". Нажмите "Next" для запуска процесса импортирования.
Программа определила имя роутера и его интерфейсы, создала объекты интерфейсов с их IP адресами и далее создала нужные объекты и службы. Конфигурация моего тестового роутера содержит следующие строки ( это только фрагменты):
interface FastEthernet0/0 ip address 192.168.100.100 255.255.255.0 secondary ip address 10.3.14.201 255.255.255.0 ip access-group fe0_0_acl_in in ip access-group fe0_0_acl_out out no ip mroute-cache duplex auto speed auto ! interface Ethernet1/0 description Test [test] {test} (and one more test) /weird:characters#$%^&*/ ip address 192.168.171.2 255.255.255.0 ip access-group e1_0_acl_in in ip access-group e1_0_acl_out out no ip mroute-cache ip ospf cost 65000 half-duplex crypto map real !################################################################ ip access-list extended e1_0_acl_in deny ip any any fragments permit tcp host 10.3.14.40 host 192.168.171.2 eq 22 log permit tcp host 10.3.14.40 host 10.3.14.201 eq 22 log permit ip any 10.3.14.0 0.0.0.255 log deny ip any any log !################################################################ ip access-list extended e1_0_acl_out permit ip 10.3.14.0 0.0.0.255 any log deny ip any any log
Парсер определил комментарии и пропустил их, но добавил описания интерфейсов из конфига в комментарии соответствующих сетевых объектов..
Оригинальная конфигурация использовали также один access list "133" для двух интерфейсов:
interface Ethernet1/1 ip address 10.10.10.10 255.255.255.0 no ip mroute-cache ! ! Note - the same access list applied both in and out ip access-group 133 in ip access-group 133 out no shutdown half-duplex ! interface Ethernet1/2 ip address 10.10.20.20 255.255.255.0 no ip mroute-cache ! ! Note - the same access list applied both in and out ! the same list is applied to eth 1/1 and eth 1/2 ip access-group 133 in ip access-group 133 out no shutdown half-duplex !
Программа определила это и создала групповой объект "intf-acl_133" с двумя интерфейсами в качестве членов группы:
Затем данная группа была использована в правилах #0, 1 и 2.
На этом мы заканчиваем работать с импортом политик Firewall Builder.
Полезные ссылки:
Качественное продвижение сайта вашей компании по разумным ценам.
Еще записи по теме
- Ubuntu Linux: Сохраняем и восстанавливаем правила Iptables
- Использование встроенного инструмента импортирования политик в Firewall Builder, часть 1
- Использование встроенного контроля изменений в Firewall Builder, часть2
- Использование объектов DNS в Firewall Builder
- Использование встроенного контроля изменений в Firewall Builder, часть1
- Iptables - ограничение количества подключений с IP
- RDP через SSH порт 443
Оставьте комментарий!