Завершение подготовки: Определим вашу локальную сеть

В  мы  создали  конфигурацию  для  единственной,  автономной  машины.  Мы собираемся развернуть  эту конфигурацию в   конфигурацию  версии  шлюза, и поэтому полезно определить несколько макросов,  способствующих  повышению  читабельности и концептуальному разделению отдельных уровней локальной сети, на каждом из которых существуют  определённые меры контроля отличные от других. Так как же определить

свою локальную сеть в терминах PF?

Ранее в  этой главе, вы  уже видели  нотацию интерфейс:сеть  (interface:network). Это хороший пример записи, однако, вы  можете  сделать  свой  набор правил  даже более

удобным для чтения и обслуживания, создав некоторые макросы. Например, вы можете

определить  макрос  $localnet,  как  сеть  напрямую  соединённую  с  вашим  внутренним интерфейсом (в нашем примере это re1). Или вы можете изменить определение $localnet на нотацию IP адрес/маска сети (IP address/netmask)  для обозначения сети, например 192.168.100.0/24  для  частной  подсети   адресов   IPv4,  или  fec0:dead:beef::/64  для диапазона IPv6.

Если ваша сетевая среда того требует, вы можете определить ваш $localnet как список сетей.  Для  примера,  разумно  определить  $localnet  в   комбинации  с  разрешающими

правилами  использующими макрос, такими как следующие, что в  итоге избавит  вас  от

некоторой головной боли.

pass proto { tcp, udp } from $localnet to port $ports

Мы будем придерживаться соглашения использования макросов, таких как $localnet для удобства чтения.

2  RFC 1631, "Преобразование сетевых IP адресов (NAT)" опубликовано в  мае 1994 года, и RFC 1918, "Распределение частных адресов Интернет", датированное февралём 1996 года, предоставляют детальную информацию о NAT.

3  По слова  проекта KAME (http://www.kame.net), совместными  усилиями шести компаний Японии решено  было  реализовать свободный  стек IPv6, IPsec и Mobile IPv6 для BSD систем. Основные  направления  деятельности исследований  и разработки должны были быть завершены в  2006 году, с продолжением поддержки важных частей включённых в  основные операционные системы.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий