Loading…

جزیره فایروال و تجهیزات امنیتی

ارسال کننده: mabedini
سلام دوستان مدیر سایت mabedini.ir هستم. از سال ۱۳۸۱ با سیستم عامل های مبتنی بر BSD کار کردم. مقالات و فیلم های آموزشی در زمینه BSD تهیه کردم. یکی از سیستم عامل های مورد علاقه من OpenBSD است. در حال حاضر دوره هایی برروی انواع فایروالهای زیر رو در سایت دارم ** دوره آموزش pfsense به صورت مقدماتی و نصب انواع بسته های کاربردی. ** دوره آموزش فایروال IPFW در FreeBSD ** دوره آموزش فایروال ipfire ** دوره جدید فایروال OPNsense
ارسال پیام خصوصی
امتیازات این مطلب
نکته: بخش دوم: list و macro در فایل پیکربندی pf
سلام خدمت دوستان عزیز و کاربران محترم امروز می خوام شما رو با دو بخش از فایل pf.conf آشنا کنم این دو بخش عبارت است از:

  1. Lists
  2. Macros

قابلیت Lists:

برخی از موارد در رول نویسی در فایروالها پیش آمده است که چندین مقدار که قابلیتهای مشترک دارند مثل شماره های پورت و آدرسهای ip را نیاز داشته باشید که در رول های خود بنویسید، اگر از قابلیت لیست استفاده کنید باید برای هر مقدار یک خط رول خاص بنویسد و در صورت نیاز به تغییرات باید همه را از اول ویرایش کنید، برای این کار شما نیاز دارید به استفاده از قابلیت لیست در خطوط رول که این مقادیر را در بین {} قرار دهید. این روش تعداد رولهای شما را در نگارش کاهش می دهد برای مثال به این دو رول ذکر شده در زیر توجه کنید:
block out on fxp0 from 192.168.0.1 to any
block out on fxp0 from 10.5.32.6 to any
برای خلاصه نویسی و استفاده از قابلیت Lists این رول به صورت یک خطی در میاد به صورت زیر:
block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any
حال شما می توانید در همه بخشهایی که در رولهای خود نیاز به نوشتن متغییر دارید از این روش استفاده کنید به صورت زیر:
match in on fxp0 proto tcp to port { 22 80 } rdr-to 192.168.0.6
block out on fxp0 proto { tcp udp } from { 192.168.0.1, 10.5.32.6 } \
to any port { ssh https }

برای درج کردن خطوط بلندی که در صفحه نمایش قابل نمایش نیست از \ استفاده کنید و به اصطلاح خط مربوطه را شکسته و به خط بعدی بروید.

در برخی از موارد هم شما می توانید این لیست ها را در قسمتی از فایل پیکربندی خود قرار دهید و بعدا در خط رول از آن استفاده کنید به صورت زیر:
trusted = "{ 192.168.1.2 192.168.5.36 }"
pass in inet proto tcp from { 10.10.0.0/24 $trusted } to port 22
شما می توانید از قواعدی استفاده کنید که به غیر از است برای مثال خط رول زیر را مشاهده کنید:
pass in on fxp0 from { 10.0.0.0/8, !10.1.2.3 }
در رول بالا به همه آدرسهای IP دسترسی می دهد به غیر از آدرس 10.1.2.3

در بخشهای بعدی با قابلیت جدوال آشنا خواهید شد.

قابلیت Macros:

برای کاربر پسند کردن رولها شما می تونید از قابلیت ماکرو استفاده کنید و نام متغییرهایی مثل شماره پورت آدرس ایپی و حتی نام کارتهای شبکه خود را در رولها تغییر دهید، این عمل با استفاده از ماکرو انجام می شود به صورت زیر :
ext_if = "fxp0"
block in on $ext_if from any to any
شما هم می توانید به صورت زیر اقدام کنید:
friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }"
شما می توانید از چند ماکرو تو در تو هم به صورت زیر استفاده کنید:
host1      = "192.168.1.1"
host2      = "192.168.1.2"
all_hosts  = "{" $host1 $host2 "}"

دیدگاه ها

هیچ دیدگاهی برای این مطلب ارسال نشده است

برای ارسال نظر وارد شوید.