Firewall Builder: использование сетевых объектов
Метки: firewall | Linux | администрирование
Воскресенье, 13 сентября 2009 г.
Просмотров: 9271
Подписаться на комментарии по RSS
В данной статье я продолжу рассказывать про отличную утилиту, которая поможет вам настроить различные файерволы. Мы уже знакомились с Firewall Builder, смотрим поиск по сайту. В данной статье я продемонстрирую как работать с объектами Network, Address Range и Groups of Objects.
Network, Address Range Objects и Groups of Addresses Objects
Сетевой объект IPv4
Сетеевой объект описывает IP сеть или подсеть. Используйте пункт основного меню "Net Object / New Network" для создания объектов этого типа. В данном объекте нам доступны следующие поля:
- Name -- Имя объекта
- Address -- Адрес сети
- Netmask -- Маска сети, в сочетании с адресом сети определяет подсеть.
- Comment -- Место для комментария.
Давайте попробуем использовать данный сетевой объект в правиле на скриншоте ниже, и посмотрим каким образом это правило скомпилируется для различных платформ.
Для iptables правило будет выглядеть таким образом.
$IPTABLES -A FORWARD -p tcp -m tcp -s 172.16.22.0/24 --dport 80 -m state --state NEW -j ACCEPT
Для PF вот так:
pass in quick inet proto tcp from 172.16.22.0/24 to any port 80 keep state pass out quick inet proto tcp from 172.16.22.0/24 to any port 80 keep state
А вот таким образом правило будет выглядеть скомпилированное для акцесс листа Cisco IOS:
ip access-list extended outside_out permit tcp 172.16.22.0 0.0.0.255 any eq 80 exit
Теперь рассмотрим пример для Cisco ASA (PIX). Обратите внимание что в примере выше использовалась маска 0.0.0.255, а в этом все вернулось к стандартному виду 255.255.255.0.
access-list inside_acl_in permit tcp 172.16.22.0 255.255.255.0 any eq 80 access-group inside_acl_in in interface inside
Сетевой объект IPv6
Данный сетевой объект описывает подсети IPv6. В целом он похож на рассмотренный нами сетевой объект IPv4, за исключением того что мы указываем маску сети в виде количества битов. Для создания объекта используете меню "Net Object / New Network IPv6".
Давайте посмотрим на следующий пример правила в Firewall Builder и полученные скомпилированные правила для различных файерволов:
Пример для iptables:
$IP6TABLES -A FORWARD -p tcp -m tcp -s 2001:470:1f0e:162::/64 --dport 80 -m state --state NEW -j ACCEPT
Пример для PF:
pass in quick inet6 proto tcp from 2001:470:1f0e:162::/64 to any port 80 keep state pass out quick inet6 proto tcp from 2001:470:1f0e:162::/64 to any port 80 keep state
Пример для Cisco IOS:
ipv6 access-list ipv6_outside_out permit tcp 2001:470:1f0e:162::/64 any eq 80 exit interface eth0 ipv6 traffic-filter ipv6_outside_out out exit
Для Cisco ASA (PIX) в Firewall Builder в настоящее время нет поддержки IPv6.
Объект Address Range
Объект Address Range описывает некоторый диапазон IPv4 адресов. Для создания объекта используйте пункт меню "New Object / New Address Range:
- Name -- Имя объекта
- Range start -- адрес начала диапазона адресов
- Range end -- Конечный адрес
- Comment -- поле комментария
Когда объект Address Range встречается в правиле, Firewall Builder заменяет его списком адресов, представленных в диапазоне. Программа пытается сгенерировать наиболее экономичное представление диапазона комбинирую подсети различной длины. Ещё раз посмотрите на объект, описанный выше. Он включает в себя диапазон адресов между 192.168.1.100 и 192.168.1.160. И теперь посмотрите каким образом компилятор предобразовал данный диапазон для различных файерволов:
Для iptables:
$IPTABLES -A FORWARD -s 192.168.1.100/30 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.104/29 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.112/28 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.128/27 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.160 -m state --state NEW -j ACCEPT
Представление в PF:
table <tbl.r0.s> { 192.168.1.100/30 , 192.168.1.104/29 , 192.168.1.112/28 , 192.168.1.128/27 , 192.168.1.160 } pass in quick inet from <tbl.r0.s> to any keep state
То же правило для Cisco IOS:
ip access-list extended inside_in ! ! Rule 0 (global) ! ! permit ip 192.168.1.100 0.0.0.3 any permit ip 192.168.1.104 0.0.0.7 any permit ip 192.168.1.112 0.0.0.15 any permit ip 192.168.1.128 0.0.0.31 any permit ip host 192.168.1.160 any exit
Группа объектов
Группа объектов может содержать в себе такие объекты как Hosts, Networks, Address Ranges, Firewalls и прочее. Создать данный объект можно используя меню "New Obejct / New Obejct Group". Объекты в группу могут быть добавлены либо простым перетаскиванием из дерева объектов, либо с помощью меню.
Интересное
Если вам необходимы грецкие орехи, миндаль, любые сухофрукты в больших количествах, я рекомендую обратиться в компанию "ЕВРООРЕХ". Мы давно и плодотворно сотрудничаем с данным поставщиком, и абсолютно всем довольны.
Еще записи по теме
- Использование встроенного контроля изменений в Firewall Builder, часть2
- Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2
- Iptables - ограничение количества подключений с IP
- Использование встроенного инструмента импортирования политик в Firewall Builder, часть 1
- RDP через SSH порт 443
- Использование объектов DNS в Firewall Builder
- Использование встроенного контроля изменений в Firewall Builder, часть1
Оставьте комментарий!