форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Фильтрация по FQDN"	–2 +/–
Сообщение от yurybx (ok) on 01-Авг-17, 10:26
Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется также несколько серверов, которые нужно пускать в мир только на определенные хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам. Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась по FQDN?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Фильтрация по FQDN"	+/–
Сообщение от ipmanyak (ok) on 01-Авг-17, 12:56
> Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется > также несколько серверов, которые нужно пускать в мир только на определенные > хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени > меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам. > Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась > по FQDN? в 10-ке вроде как теперь можно указывать  Полное доменное имя, которое будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся в правиле. Инфа отсюда: http://skeletor.org.ua/?p=2217 Если это так, то нужно просто перестартовывать службу PF по запросу или периодически по крону.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Фильтрация по FQDN"	–1 +/–
	Сообщение от yurybx (ok) on 01-Авг-17, 13:57
	Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были в единой таблице (ну, чтобы не писать правило для каждого хоста). Для этого я использую таблицы. Но имена хостов в таблицах PF не работают. Как красиво решить проблему? Может использовать какой-нибудь внеший механизм для преобразования списка имен хостов в IP-адреса? > в 10-ке вроде как теперь можно указывать  Полное доменное имя, которое > будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся > в правиле. > Инфа отсюда: > http://skeletor.org.ua/?p=2217 > Если это так, то нужно просто перестартовывать службу PF по запросу или > периодически по крону.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Фильтрация по FQDN"	+/–
	Сообщение от Дум Дум on 01-Авг-17, 14:56
	> Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были > в единой таблице (ну, чтобы не писать правило для каждого хоста). > Для этого я использую таблицы. Но имена хостов в таблицах PF > не работают. "pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Фильтрация по FQDN"	–1 +/–
	Сообщение от yurybx (ok) on 01-Авг-17, 15:33
	Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет заполнять таблицы. Но как-то оно некрасиво получается. Есть какой-нибудь более цивилизованный способ решить задачу? > "pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Фильтрация по FQDN"	+2 +/–
	Сообщение от вова п on 01-Авг-17, 17:17
	> Есть какой-нибудь более цивилизованный способ решить задачу? отключить вражеский интернет. диды жили без инета.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Фильтрация по FQDN"	+/–
	Сообщение от михалыч (ok) on 01-Авг-17, 18:43
	> Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы > сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет > заполнять таблицы. Но как-то оно некрасиво получается. > Есть какой-нибудь более цивилизованный способ решить задачу? Содержимое таблицы можно брать из файла table <myhosts> persist file "/etc/myhosts" ну и после уже добавлять записи pfctl -t myhosts -T add ... или удалять pfctl -t myhosts -T delete ... также с -T можно использовать и kill и flush и replace
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Фильтрация по FQDN"	+/–
	Сообщение от yurybx (ok) on 02-Авг-17, 11:54
	Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять записи в этот файл. Короче, буду писать в файл при помощи какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf". Спасибо за ответы! > Содержимое таблицы можно брать из файла > table <myhosts> persist file "/etc/myhosts" > ну и после уже добавлять записи pfctl -t myhosts -T add ... > или удалять pfctl -t myhosts -T delete ... > также с -T можно использовать и kill и flush и replace
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Фильтрация по FQDN"	+/–
	Сообщение от Дум Дум on 04-Авг-17, 10:54
	-T    load       Load    only the table definitions from    pf.conf(5).                This    is used    in conjunction with the    -f flag, as            in:                  # pfctl -Tl -f    pf.conf > Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять > записи в этот файл. Короче, буду писать в файл при помощи > какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf". > Спасибо за ответы!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема