Псевдонимы IP-адресов брандмауэра, что это такое

Обновлено: 21.11.2024

Псевдоним — это ярлык, идентифицирующий группу хостов, сетей или интерфейсов. Ваш файл конфигурации включает множество псевдонимов по умолчанию. Вы также можете создавать новые псевдонимы. Чтобы управлять трафиком через Firebox, вы можете добавить любой из псевдонимов к политикам, определенным в вашем файле конфигурации.

Псевдонимы по умолчанию включают:

  • Any — псевдоним для любого адреса. Сюда входят любой IP-адрес, интерфейс, настраиваемый интерфейс, туннель, пользователь и группа.
  • Firebox — псевдоним для всех интерфейсов Firebox.
  • Any-Trusted — псевдоним для любой сети, к которой вы можете получить доступ через интерфейсы Firebox, настроенные как Trusted.
  • Any-External — псевдоним для любой сети, к которой вы можете получить доступ через интерфейсы Firebox, настроенные как внешние.
  • Any-Optional – псевдоним для любой сети, к которой вы можете получить доступ через интерфейсы Firebox, настроенные как необязательные.

Псевдонимы Any-Trusted, Any-External и Any-Optional не включают IP-адреса интерфейса Firebox.

  • Any-BOVPN — псевдоним для любого туннеля BOVPN (IPSec).
    Когда вы используете мастер политики BOVPN для создания политики, разрешающей трафик через туннель BOVPN, мастер автоматически создает .in< /i> и .out псевдонимы для входящего и исходящего туннелей.
  • WG-Wireless-Access-Point1 — псевдоним беспроводной точки доступа 1 в беспроводной Firebox.
  • WG-Wireless-Access-Point2 — псевдоним беспроводной точки доступа 2 в беспроводной Firebox.
  • WG-Wireless-Access-Point3 — псевдоним беспроводной точки доступа 3 в беспроводной Firebox. WG-Wireless-Guest — псевдоним беспроводной точки доступа 3 в беспроводной Firebox, которая используется для гостевой беспроводной сети (Fireware OS версии 11.8.x и ниже).

Псевдонимы отличаются от имен пользователей или групп, используемых при аутентификации пользователей. С помощью аутентификации пользователя вы можете отслеживать соединение по имени, а не по IP-адресу. Человек аутентифицируется с помощью имени пользователя и пароля, чтобы получить доступ к интернет-протоколам.

Дополнительную информацию об аутентификации пользователей см. в разделе Об аутентификации пользователей.

Вы также можете создавать и применять псевдонимы, когда используете централизованное управление для Firebox и применяете шаблон конфигурации устройства к устройству. Если вы применяете шаблон к Firebox, работающему под управлением Fireware OS v11.7 или выше, и шаблон включает псевдоним, который уже используется интерфейсом на устройстве, потому что вы не можете иметь повторяющиеся псевдонимы в любом файле конфигурации, псевдоним имя неправильно отображается в списке псевдонимов после применения шаблона.

Дополнительную информацию о шаблонах см. в разделе Создание шаблонов конфигурации устройств.

Псевдоним

Вы можете добавить эти объекты к псевдониму:

  • IP-адрес хоста
  • Сетевой IP-адрес
  • Диапазон IP-адресов узлов.
  • Подстановочный знак IPv4-адреса
  • Имя хоста (поиск DNS) — однократный поиск DNS выполняется по имени хоста, а разрешенные IP-адреса добавляются к псевдониму.
  • FQDN: выполняет прямое разрешение DNS и анализирует ответы DNS для указанного FQDN (включая домены с подстановочными знаками). К псевдониму добавляются разрешенные IP-адреса из основного домена и любых поддоменов.
    Дополнительную информацию об использовании полного доменного имени в политиках см. в разделе О политиках по доменному имени (FQDN).
  • Адрес туннеля — определяется пользователем или группой, адресом и именем туннеля. Этот тип позволяет вам указать адрес и установить два других условия, которым должен соответствовать трафик, чтобы соответствовать адресу. С туннельным адресом вы можете указать следующие условия для трафика:
  • Пользователь или член группы.
  • IP-адрес. Это может быть IP-адрес хоста, сетевой IP-адрес или диапазон IP-адресов.
  • VPN-туннель филиала, через который проходит трафик.
  • Пользовательский адрес — определяется пользователем или группой, адресом и интерфейсом Firebox. Этот тип позволяет вам указать адрес и установить два других условия, которым должен соответствовать трафик, чтобы соответствовать адресу. С помощью пользовательского адреса вы можете указать следующие условия для трафика:
  • Пользователь или участник группы
  • IP-адрес. Это может быть IP-адрес хоста, сетевой IP-адрес или диапазон IP-адресов.
  • Интерфейс, через который трафик проходит через Firebox.
  • Если пользовательский адрес находится в списке "От", это интерфейс, через который трафик поступает в Firebox.
  • Если пользовательский адрес находится в списке "Кому", это интерфейс, через который трафик выходит из Firebox.
  • Группа устройств — группа устройств для Mobile Security. Сюда входят любые мобильные устройства, любые устройства Android и любые устройства iOS.
  • Другой псевдоним
  • Авторизованный пользователь или группа

См. также

© WatchGuard Technologies, Inc., 2022. Все права защищены.WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

Псевдонимы – это именованные списки сетей, хостов или портов, которые можно использовать как единое целое, выбрав псевдоним в различных поддерживаемых разделах брандмауэра. Эти псевдонимы особенно полезны для сокращения правил брандмауэра и минимизации изменений.

Псевдонимы можно добавлять, изменять и удалять через Брандмауэр ‣ Псевдонимы.

Типы псевдонимов¶

OPNsense предлагает следующие типы псевдонимов:

Отдельные хосты по IP или полному доменному имени или исключению хостов (начинается со знака "!")

Вся сеть 192.168.1.1/24 или исключение сети, например !192.168.1.0/24

Номера портов или диапазон портов, например 20:30

MAC-адрес или часть MAC-адреса, например f4:90:ea

Таблица IP-адресов, которые извлекаются один раз

Таблица IP-адресов, которые извлекаются через регулярные промежутки времени.

Выберите страны или целые регионы

Объединить псевдонимы разных типов сетей в один

Динамический хост IPv6

Запись хоста, которая будет автоматически обновляться при изменении префикса

Псевдоним, управляемый извне, обрабатывает только заполнитель. Контент устанавливается из другого источника (плагин, вызов API и т. д.)

Хосты¶

Хосты можно вводить в виде одного IP-адреса, диапазона (разделенного знаком минус, например 10.0.0.1-10.0.0.10 ) или полного доменного имени.

При использовании полного доменного имени имя будет периодически разрешаться (по умолчанию каждые 300 секунд).

Примените изменения и просмотрите содержимое нашей только что созданной таблицы pf.

Перейдите в Брандмауэр ‣ Диагностика ‣ Псевдонимы и выберите нашу только что созданную таблицу youtube.

Как видите, для этого домена существует несколько IP-адресов.

Чтобы изменить интервал разрешения псевдонимов домена, перейдите в Брандмауэр ‣ Настройки ‣ Дополнительно и установите для параметра Интервал разрешения псевдонимов количество секунд для обновления.

Псевдонимы типов хостов могут содержать исключаемые хосты. Адреса исключений начинаются с «!» (например, !192.168.0.1) и может использоваться для исключения хостов из псевдонимов сетевых групп.

Обратите внимание, что действие Flush не является постоянным!

"сбросить" означает сбросить текущее содержимое псевдонима, которое будет повторно заполнено, если это не внешний тип, поэтому сбрасывание в большинстве случаев не очень полезно.

Такое же поведение применяется к вызову API alias_util flush

Сети¶

Сети указаны в формате бесклассовой междоменной маршрутизации (CIDR). Используйте правильную маску CIDR для каждой записи. Например, /32 указывает один хост IPv4, или /128 указывает один хост IPv6, тогда как /24 указывает 255.255.255.0, а /64 указывает обычную сеть IPv6. Псевдонимы типа сети могут содержать исключаемые хосты или сети. Адреса исключений начинаются с «!» знак (например, !192.168.0.0/24) и может использоваться для исключения хостов или сетей из текущего псевдонима или псевдонима сетевой группы

Помимо нотации CIDR, можно также использовать подстановочную маску для сопоставления диапазонов хостов или сетей.

Чтобы сопоставить все серверы, оканчивающиеся на .1 в сетях 192.168.X.1, используйте подстановочное определение, например 192.168.0.1/0.0.255.0

Порты¶

Порты могут быть указаны в виде одного числа или диапазона с использованием двоеточия :. Например, чтобы добавить диапазон от 20 до 25, нужно ввести 20:25 в разделе Порт(ы).

MAC-адреса¶

Аппаратные MAC-адреса можно указать в виде (частичного) шестнадцатеричного значения, например, F4:90:EA для соответствия всем адресам из Deciso или f4:90:ea:00:00:01 для соответствия одному элементу (входной нечувствителен к регистру).

Эти псевдонимы функционируют примерно так же, как имена хостов в псевдонимах типа хоста, они разрешаются через определенные промежутки времени из таблиц arp и ndp.

Поскольку сопоставления между адресами и mac-адресами периодически разрешаются, реальная ситуация может отличаться, вы всегда можете проверить Брандмауэр -> Диагностика -> Псевдонимы, чтобы проверить текущее содержимое псевдонима.

Таблицы URL¶

Таблицы URL можно использовать для получения списка IP-адресов с удаленного сервера. Существует несколько бесплатных списков IP-адресов, в первую очередь это списки «Не маршрутизировать и не связываться» от Spamhaus.

ГеоIP¶

С псевдонимом GeoIP вы можете выбрать одну или несколько стран или целых континентов для блокировки или разрешения. Используйте флажок переключить все, чтобы выбрать все страны в данном регионе.

Чтобы использовать GeoIP, вам необходимо настроить источник в Брандмауэр ‣ Псевдонимы -> вкладка настроек GeoIP, наиболее часто используемым источником является MaxMind, для которого у нас есть инструкции: Настройка MaxMind GeoIP

Настроенный URL должен указывать на ZIP-файл, содержащий следующие файлы csv:

сопоставляет географические местоположения со странами ISO

%prefix% можно использовать для идентификации продукта и/или поставщика, в случае MaxMind эти файлы называются GeoLite2-Country-Locations-en.csv, GeoLite2-Country-Blocks-IPv4.csv, GeoLite2-Country- Например, Blocks-IPv6.csv.

Списки географических IP-адресов могут быть довольно большими, особенно при использовании IPv6. При создании правил всегда старайтесь свести к минимуму количество адресов, необходимых для выбора. Выбор всех стран мира, не являющихся Нидерландами, обычно можно переписать, например, только как адреса из Нидерландов.

Если количество элементов больше, чем выделенный размер псевдонима, вы можете выделить больше памяти для псевдонимов. Брандмауэр ‣ Настройки ‣ Дополнительно : Максимальное количество записей в таблице брандмауэра

Сетевая группа¶

Объедините псевдонимы разных типов сети в один. Этот тип псевдонима принимает псевдонимы других типов хостов (сети, хосты и т. д.). Хотя вложение возможно и с другими типами псевдонимов, этот тип отображает только действительные псевдонимы, что упрощает администрирование, функционально псевдоним типа Networks может делать то же самое, но использует другое представление.

Динамический хост IPv6¶

Динамический хост IPv6 используется там, где система использует динамический префикс в локальной сети, интерфейс отслеживания. Когда префикс изменяется либо из-за изменения префикса провайдером по желанию, либо из-за изменения префикса при сбросе подключения к глобальной сети, любой псевдоним, содержащий адрес клиента, такого как сервер в локальной сети, перестает быть действительным.

Например, вы получаете префикс 2001:db8:2222:2800::/56. У вас есть префикс /56, и если идентификатор отслеживания был установлен на 0 для вашей локальной сети, у вас будет диапазон адресов в вашей локальной сети от 2001:db8:2222:2800:: до 2001:db8:2222:2800:FFFF:FFFF :FFFF:FFFF.

Вы хотите запустить в своей локальной сети сервер, доступный из глобальной сети, поэтому вы назначаете ему статический адрес 2001:db8:2222:2800:1000:1000::1 и создаете правило, разрешающее трафику доступ к серверу. .

При изменении вашего префикса этот статический адрес становится недействительным, поэтому вы должны использовать динамический хост IPv6, чтобы создать псевдоним адреса для записи брандмауэра, которая автоматически отслеживает префикс и изменяет правило.

Псевдоним динамического хоста всегда будет разделен на границе /64, он займет старшие 64 бита от выбранного вами интерфейса и младшие 64 бита от введенного вами адреса. Размер делегирования префикса не имеет значения.

Создайте новый псевдоним динамического хоста IPv6 и введите только суффикс адреса, в этом примере мы введем младшие 64 бита адреса, вы должны ввести ::1000:1000:0000:1, обратите внимание на ' ::' в начале адреса, вы ДОЛЖНЫ всегда начинать адрес с '::'. Вам не нужно вводить размер после адреса, т. е. /128, так как он предполагается автоматически.

Выберите интерфейс, который вы хотите использовать в качестве источника старших 64 бит, в этом случае мы выберем интерфейс LAN.

При изменении префикса адрес-псевдоним будет обновлен в правилах брандмауэра, допустим, ваш префикс изменится на 2001:db8:2222:3200::/56, правило обновится, и запись для вашего сервера в брандмауэре будет автоматически обновляться до 2001:db8:2222:3200:1000:1000::1

Возьмем другой пример: у вас есть делегирование префикса /48, у вас есть два интерфейса локальной сети и сервер на каждом. Вам потребуется создать две отдельные записи узла Dynamic IPv6, по одной для каждой локальной сети. Для простоты мы будем использовать один и тот же адрес для каждого сервера на каждом интерфейсе, вы должны ввести ::aaaa:bbbb:cccc:0001 в качестве адреса.

Верхние 64 бита взяты из интерфейса LAN 1

Младшие 64 бита — адрес вашего сервера

Сервер 1: 2a02:1234:5678:0000

Адрес GUA сервера 1: 2a02:1234:5678:0000:aaaa:bbbb:cccc:0001

Верхние 64 бита взяты из интерфейса LAN 2

Младшие 64 бита — адрес вашего сервера

Сервер 2: 2a02:1234:5678:0001

Адрес GUA сервера 2: 2a02:1234:5678:0001:aaaa:bbbb:cccc:0001

Префикс меняется, в данном случае у нас есть префикс /48, поэтому новый префикс 2a02:1234:5679/48 будет обновлять наши псевдонимы, чтобы дать нам следующие адреса:

LAN 1: адрес GUA сервера 1:

LAN 2: адрес GUA сервера 2:

Вы можете ввести несколько адресов, например, если у вас есть несколько серверов в одном сегменте локальной сети, просто добавьте суффикс для каждого из них. В приведенном ниже примере у нас есть три сервера.

Внешний¶

Содержимое для внешних типов псевдонимов не администрируется через нашу обычную службу псевдонимов и может быть полезным в сценариях, когда вы хотите отправлять новые записи из внешних программ. Например, специальные функции блокировки или внешние инструменты, передающие управление доступом вашему брандмауэру.

В Брандмауэре ‣ Диагностика ‣ Псевдонимы вы всегда можете проверить текущее содержимое внешнего псевдонима и немедленно добавить или удалить записи.

При изменении содержимого псевдонима, используемого в правилах брандмауэра с включенным отслеживанием состояния, может потребоваться удалить определенное состояние, прежде чем новое правило станет активным. (см. Брандмауэр ‣ Диагностика ‣ Дамп состояний )

Поскольку OPNsense не затрагивает внешние типы псевдонимов, вы можете использовать pfctl непосредственно в сценариях для управления его содержимым. (например, pfctl -t MyAlias ​​-T добавить 10.0.0.3, чтобы добавить 10.0.0.3 к MyAlias)

Использование псевдонимов в правилах брандмауэра¶

Псевдонимы можно использовать в правилах брандмауэра для упрощения администрирования больших списков. Например, нам может понадобиться список удаленных IP-адресов, которые должны иметь доступ к определенным службам, когда что-то изменится, нам нужно только обновить список.

Давайте создадим простой псевдоним, чтобы разрешить 3 удаленным IP-адресам доступ к серверу ipsec для туннельного соединения между сайтами:

Мы называем наш список remote_ipsec и соответствующим образом обновляем правила брандмауэра.

Значок списка обозначает правило с псевдонимом.

Экспорт/импорт¶

Страница администрирования псевдонимов ( Брандмауэр ‣ Псевдонимы ) содержит кнопку загрузки и загрузки в нижнем колонтитуле таблицы, с помощью этой функции вы можете объединить псевдонимы в конфигурацию и загрузить список всех псевдонимов в системе в формате json.< /p>

Поскольку данные проверяются перед вставкой, не должно быть возможности импортировать дефектные данные (если импорт не удается, отображается список ошибок).

При переносе иногда проще одновременно изменить несколько элементов в текстовом редакторе. Эту функцию можно легко использовать для облегчения этого, ограничивая риск неправильной конфигурации (поскольку элементы проверяются так же, как и входные данные одного элемента).

Добавьте новые записи с помощью нашего API¶

Конечные точки из alias_util можно легко использовать для добавления новых записей в псевдоним (или удаления существующих). В случае внешнего псевдонима эти элементы не будут сохраняться после перезагрузки, что может быть полезно в некоторых случаях использования (например, большие часто меняющиеся списки).

Документ "Использование API" содержит шаги, необходимые для создания ключа и секрета API, затем вы можете просто вызвать ту же конечную точку, что и пользовательский интерфейс.

Ниже показано, как добавить 10.0.0.2 к псевдониму MyAlias, используя небезопасное соединение (самозаверяющий сертификат) на хосте opnsense.firewall с помощью curl . Опция verbose предоставляет более подробную информацию об обмене данными между двумя компьютерами.

Добавление псевдонимов с помощью /api/firewall/alias_util/add/ поддерживается только для псевдонимов хоста, сети и внешнего типа

Исключения¶

Вложенность¶

Для типов псевдонимов хоста и сети возможно вложение, это может значительно упростить управление, поскольку отдельные элементы могут быть правильно названы и сгруппированы в разделы для администрирования.

Например, мы определяем 4 сервера среди 2 критических, используя разные наборы правил:

После настройки серверы псевдонимов будут содержать все 4 адреса.

Есть также возможность комбинировать разные псевдонимы с псевдонимами, состоящими из исключений. Например, есть псевдоним «FireHOL», который использует обширный раскрывающийся список externl, и два псевдонима, которые содержат исключения подсети и хосты. Можно создать Сетевую группу (объединенную) Псевдоним («FireHOL_with_exclusions»):

Псевдоним FireHOL_with_exclusions будет содержать все записи из псевдонима FireHOL, за исключением адресов из псевдонимов исключений.

Всегда полезно проверить, включен ли адрес в Alias ​​через Firewall ‣ Diagnostics ‣ pfTable

Спамхаус¶

Списки Spamhaus Don't Route Or Peer Lists DROP (Don't Route Or Peer Lists) и EDROP – это рекомендательные списки "отбрасывания всего трафика", состоящие из сетевых блоков, которые "захвачены" или арендованы профессиональными подразделениями по борьбе со спамом или киберпреступностью. (используется для распространения вредоносных программ, троянских загрузчиков, контроллеров ботнетов). Списки DROP и EDROP — это небольшое подмножество SBL, разработанное для использования брандмауэрами и оборудованием маршрутизации для фильтрации вредоносного трафика от этих сетевых блоков.

Чтобы настроить списки DROP и EDROP в сочетании с правилами брандмауэра, прочтите: Настройка Spamhaus (E)DROP

В этом руководстве вы узнаете, как создать псевдоним и правило брандмауэра с помощью pfSense.

Почему псевдонимы полезны

Подумайте о DNS и IP-адресах, с которыми вы уже должны быть знакомы, если вы давно следите за моим блогом и YouTube.

В основном то же самое происходит и с псевдонимами, только вы можете задать, например, одно имя

Имя: Майкрософт

Теперь у вас есть масса вариантов, что вы хотите сохранить в этом псевдониме

Теперь вы можете назначить псевдоним Microsoft только одному или нескольким узлам, сетям, портам или URL-адресам.

Например, вы можете назначить:

Все для одного псевдонима Microsoft.

Или то же самое с парой IP-адресов или сетей.

Так почему же это полезно?

Допустим, вы используете VOIP, как в следующем примере, который я вам покажу.

Вам необходимо разрешить определенные порты из вашего брандмауэра в сеть провайдеров VOIP. Если у провайдера VOIP только одна сеть, вы можете, конечно, просто ввести диапазон сети, например 216.58.209.35/21

В некоторых случаях необходимо разрешить порты для нескольких сетей, поэтому вам потребуется создавать каждое правило брандмауэра дважды или даже чаще, если вы хотите разрешить порты для всех сетей провайдера.< /p>

Вот тут и пригодятся псевдонимы. Я также использую псевдонимы для отдельных сетей, потому что я могу запомнить одно имя лучше, чем диапазон IP-адресов, и вы, вероятно, тоже, за исключением того, что вы какой-то волшебник чисел.

Позвольте мне быстро рассказать вам о шагах, необходимых для создания псевдонима и правила брандмауэра с использованием псевдонима.

Создание псевдонима

Создать новый псевдоним

Теперь выбор за вами, вы можете выбрать, хотите ли вы назначить сети, хосты, URL-адреса или порты.

Если вы хотите добавить несколько сетей, просто нажмите +Добавить сеть.

Имя, которое вы установили в части 1, будет именем, которое позже будет использоваться в качестве псевдонима в правиле брандмауэра.

Создание псевдонима

Применить изменения

Теперь пришло время создать правило брандмауэра, используя только что созданный псевдоним.

Создание правила брандмауэра с использованием псевдонима

Добавление правила брандмауэра

И все. Теперь вы создали правило брандмауэра, используя свой псевдоним. Вы должны использовать эту функцию, поскольку она очень удобна, особенно в корпоративной среде. Вы также можете использовать его для блокировки определенных URL-адресов, но есть и лучшие варианты, которые мы рассмотрим позже.

Я надеюсь, что это руководство даст вам хорошее представление о том, почему использование псевдонимов полезно и реально экономит время!

Я использую комплект PC Engines APU.1D4, который доступен только на немецком Amazon, так что вам придется поискать его в США, но я предполагаю, что вышеперечисленные варианты одинакового качества.

Читайте также: