Использование объектов DNS в Firewall Builder
Метки: firewall | iptables | pf
Воскресенье, 21 февраля 2010 г.
Просмотров: 8171
Подписаться на комментарии по RSS
Данная статья продолжает серию статей о программе Firewall Builder. Я покажу как создать правило файервола, содержащее A запись DNS.
Объект "DNS Name"
Объект DNS Name представляет собой "A" или "AAAА" DNS запись. Объект резолвится в IP адрес либо на этапе компиляции, либо на этапе запуска. Объект резолвится либо в IPv4 либо в IPv6 адрес, в зависимости от того, в каком наборе правил он используется. В случае если объект используется в смешанном окружении (IPv4+IPv6), компилятор будет резолвить объект дважды используя различные запросы.
Окно объекта DNS Name выглядит следующим образом:
- Name: Имя объектаThe name of the DNS Name object
- DNS Record: DNS запись.
- Compile Time / Run Time: Определяет когда нужно резолвить A запись в IP адрес: на этапе компиляции или на этапе запуска скрипта (run time).
- Comment: Комметарий в свободной форме
Теперь для закрепления материала разберем конкретный пример. В этом примере мы создали объект DNS указывающий на сайт проекта Firewall Builder - www.fwbuilder.org. IPv6 адрес данного сервара доступен по адресу "ipv6.fwbuilder.org", поэтому нам необходимо добавить второй объект DNS Name для IPv6.
Давайте посмотрим как следующее простое правило будет выглядеть для iptables и PF, в случае ресолвинга на этапе компиляции и на этапе запуска.
DNS Name Compile Time в iptables
# Rule 0 (global) # $IPTABLES -A FORWARD -d 70.85.175.170 -m state --state NEW -j ACCEPT
В данном простейшем примере компилятор просто преобразовал имя "www.fwbuilder.org" в его IP адрес и использовал данный адрес в команде iptables.
DNS Name Compile Time в PF
# Rule 0 (global) # pass in quick inet from any to 70.85.175.170 keep state
Аналогично примеру выше компилятор выполнил преобразование и поместил адрес в сгенерированный файл pf.conf.
DNS Name Run Time в iptables
# Rule 0 (global) # $IPTABLES -A FORWARD -d www.fwbuilder.org -m state --state NEW -j ACCEPT
В данном режиме компилятор не выполнил преобразование адреса и поместил A запись объекта в правило iptables. Для политики IPv6 правило выглядело бы следующим образом
# Rule 0 (global) # $IP6TABLES -A FORWARD -d ipv6.fwbuilder.org -m state --state NEW -j ACCEPT
DNS Name Run Time в PF
# Rule 0 (global) # pass in quick inet from any to www.fwbuilder.org keep state pass out quick inet from any to www.fwbuilder.org keep state
Аналогично примеру выше компилятор не стал производить преобразование и поместил A запись в правило.
Полезные ссылки:
В последнее время различных блогов становиться очень и очень много, каждый ребенок похоже заводит себе по паре блогов, особенна популярна SEO тематика, что и понятно, порог вхождения довольно низок, сателлитов наклеепать взяв контент из сканированной книги любой недоумок может. Среди такого разнообразия найти действительно полезные блоги бывает очень сложно, поэтому хочу поделиться ссылкой на понравившийся мне seo-блог. Там бывает проскакивают полезные идеи и темы.
Еще записи по теме
- Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2
- Использование встроенного контроля изменений в Firewall Builder, часть1
- Использование встроенного контроля изменений в Firewall Builder, часть2
- Firewall Builder: использование сетевых объектов
- Iptables - ограничение количества подключений с IP
- RDP через SSH порт 443
- Ubuntu Linux: Сохраняем и восстанавливаем правила Iptables
Оставьте комментарий!