Тестування набору правил PF

  Це непогано протестувати ваш набір правил, це дає впевненість у тому, що вони працюють як очікується Правильне тестування стане істотним, як тільки ви перейдете до складніших конфігурацій

Для тестування простого набору правил слід переконатися, чи може він виконувати дозвіл доменних імен Для прикладу, ви могли б побачити що хост nostarchcom

повернув інформацію таку як IP адреса хоста nostarchcom та імена поштових хостів

домена Або просто перевірте чи можете ви вийти в мережу Якщо ви можете зєднатися із зовнішнім веб сайтом по імені, значить набір правил виконує дозвіл доменних імен В основному, будь-які служби до яких ви спробуєте отримати доступ зі своєї власної системи повинні працювати, і будь-які служби, які спробують отримати доступ до вашої система з іншої машини отримають повідомлення відмови зєднання (connection refused)

Набір правил в попередньому розділі надзвичайно простий – можливо занадто простий для

практичного використання Але це корисна відправна точка для побудови трохи більше структірірованной і закінченою установки Ми почнемо з заборони всіх служб і протоколів, а потім дозволимо тільки ті, необхідність в яких ми є 4, використовуючи спіскоі і макроси для кращої зручності читання та управління

Список – два або більше обєктів одного типу, на які ви можете послатися в наборі правил, таких як:

pass proto tcp to port { 22 80 443 }

Тут {22 80 443} – список

Макрос є більш читабельним інструментом Якщо ви маєте обєкти на які потрібно послатися більше одного разу в конфігурації, такі як IP адреси для важливого хоста, може бути корисним визначити макрос замість їх прямої вказівки Для прикладу, ви повинні визначити визначити цей макрос раніше в наборі правил:

external_mail = 1920212

Тепер ви можете посилатися на цей хост як $ external_mail в наборі правил:

pass proto tcp to $external_mail port 25

Ці дві можливості мають величезний потенціал для збереження вашого набору правил більш читабельними, і вони є важливим фактором, який вносить вклад в спільну мету – тримати під контролем вашу мережу

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*