Тестирование набора правил PF

  Это  неплохо протестировать ваш набор правил, это дает уверенность в  том  , что они работают как ожидается. Правильное тестирование станет существенным, как только вы перейдете к более сложным конфигурациям.

Для тестирования простого набора правил следует убедиться, может ли он  выполнять разрешение доменных имен. Для примера, вы могли бы увидеть  что  хост nostarch.com

вернул информацию такую как IP адрес хоста nostarch.com и имена  почтовых  хостов

домена. Или просто проверьте можете ли вы выйти в сеть. Если вы можете соединиться с внешним веб сайтом по имени, значит набор правил выполняет  разрешение доменных имен. В основном, любые службы к которым вы  попытаетесь получить доступ со своей собственной системы должны работать, и любые службы, которые попытаются получить доступ  к  вашей  система  с   другой  машины  получат  сообщение  отказа  соединения (connection refused).

Более строгие: использование списков и макросов для удобства чтения

Набор правил в предыдущем разделе чрезвычайно прост – возможно слишком прост для

практического использования. Но это полезная отправная точка для построения немного более структирированной и законченной установки. Мы начнем с запрещения всех служб и  протоколов,  а  затем  позволим  только  те,  необходимость  в  которых  мы  имеется 4, используя спискои и макросы для лучшего удобства чтения и управления.

Список – два или более объектов одного типа, на которые вы можете сослаться в наборе правил, таких как:

pass proto tcp to port { 22 80 443 }

Здесь { 22 80 443 } – список.

Макрос является более читабельным инструментом. Если вы имеете объекты на которые нужно сослаться более одного раза в конфигурации, такие как IP  адреса для важного хоста,  может  быть  полезным  определить  макрос  вместо  их  прямого  указания.  Для примера, вы должны определить определить этот макрос ранее в наборе правил:

external_mail = 192.0.2.12

Теперь вы можете ссылаться на этот хост как $external_mail в наборе правил:

pass proto tcp to $external_mail port 25

Эти две возможности имеют огромный потенциал для сохранения вашего набора правил более читабельными, и  они являются важным фактором, который вносит вклад в общую цель – держать под контролем вашу сеть.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий