The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Фильтрация по FQDN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Фильтрация по FQDN"  –2 +/
Сообщение от yurybx (ok) on 01-Авг-17, 10:26 
Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется также несколько серверов, которые нужно пускать в мир только на определенные хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам. Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась по FQDN?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фильтрация по FQDN"  +/
Сообщение от ipmanyak (ok) on 01-Авг-17, 12:56 
> Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется
> также несколько серверов, которые нужно пускать в мир только на определенные
> хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени
> меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам.
> Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась
> по FQDN?

в 10-ке вроде как теперь можно указывать  Полное доменное имя, которое будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся в правиле.
Инфа отсюда:
http://skeletor.org.ua/?p=2217

Если это так, то нужно просто перестартовывать службу PF по запросу или периодически по крону.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фильтрация по FQDN"  –1 +/
Сообщение от yurybx (ok) on 01-Авг-17, 13:57 
Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были в единой таблице (ну, чтобы не писать правило для каждого хоста). Для этого я использую таблицы. Но имена хостов в таблицах PF не работают.
Как красиво решить проблему? Может использовать какой-нибудь внеший механизм для преобразования списка имен хостов в IP-адреса?

> в 10-ке вроде как теперь можно указывать  Полное доменное имя, которое
> будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся
> в правиле.
> Инфа отсюда:
> http://skeletor.org.ua/?p=2217
> Если это так, то нужно просто перестартовывать службу PF по запросу или
> периодически по крону.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Фильтрация по FQDN"  +/
Сообщение от Дум Дум on 01-Авг-17, 14:56 
> Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были
> в единой таблице (ну, чтобы не писать правило для каждого хоста).
> Для этого я использую таблицы. Но имена хостов в таблицах PF
> не работают.

"pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Фильтрация по FQDN"  –1 +/
Сообщение от yurybx (ok) on 01-Авг-17, 15:33 
Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет заполнять таблицы. Но как-то оно некрасиво получается.
Есть какой-нибудь более цивилизованный способ решить задачу?

> "pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Фильтрация по FQDN"  +2 +/
Сообщение от вова п on 01-Авг-17, 17:17 
> Есть какой-нибудь более цивилизованный способ решить задачу?

отключить вражеский интернет. диды жили без инета.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Фильтрация по FQDN"  +/
Сообщение от михалыч (ok) on 01-Авг-17, 18:43 
> Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы
> сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет
> заполнять таблицы. Но как-то оно некрасиво получается.
> Есть какой-нибудь более цивилизованный способ решить задачу?

Содержимое таблицы можно брать из файла
table <myhosts> persist file "/etc/myhosts"

ну и после уже добавлять записи pfctl -t myhosts -T add ...
или удалять pfctl -t myhosts -T delete ...

также с -T можно использовать и kill и flush и replace

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Фильтрация по FQDN"  +/
Сообщение от yurybx (ok) on 02-Авг-17, 11:54 
Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять записи в этот файл. Короче, буду писать в файл при помощи какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf".
Спасибо за ответы!

> Содержимое таблицы можно брать из файла
> table <myhosts> persist file "/etc/myhosts"
> ну и после уже добавлять записи pfctl -t myhosts -T add ...
> или удалять pfctl -t myhosts -T delete ...
> также с -T можно использовать и kill и flush и replace

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фильтрация по FQDN"  +/
Сообщение от Дум Дум on 04-Авг-17, 10:54 
-T    load       Load    only the table definitions from    pf.conf(5).
               This    is used    in conjunction with the    -f flag, as
           in:

                 # pfctl -Tl -f    pf.conf

> Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять
> записи в этот файл. Короче, буду писать в файл при помощи
> какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf".
> Спасибо за ответы!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor