Alias URL Table

lucas1

Добрый день.
Подскажите, как в Alias URL Table указать исключение блока IP адресов?
10.0.0.0/8
!10.8.8.0/24
Это пример. Дело в том что при просмотре таблицы не видно именно строки исключения.

pigbrother

@lucas1 По идее подсети задаются в Firewall->Aliases->IP.
А Собственно исключения (!) с этими алиаасами задаются при создании правил.

lucas1

Я не нашел как в правиле указать исключение !.
Вообще я хочу создать правило в котором указан источник таблица со строками каких-то моих подсетей. Но из этих подсетей мне надо исключить некий диапазон IP-адресов. Это цитата из книги по настройке pf в OpenBSD, чтобы точно указать, что мне надо.

You can specifically exclude a section of network numbers from a table by using the negation (!)
operator. This lets you make tables easily with entries such as "Every IP address beginning with
10, except for the 10.8.8.0/24 block."
table <remote> {10.0.0.0/8, !10.8.8.0/24}
You can also use a similar entry in a file:
10.0.0.0/8
!10.8.8.0/24

В PfSense как это сделать? Табличный файл создал, втянул эту таблицу в Firewall\Aliases\URLs. Но повторюсь при просмотре Diagnostics\Tables именно исключений не видно.

pigbrother

@lucas1 said in Alias URL Table:

Но повторюсь при просмотре Diagnostics\Tables именно исключений не видно.

Они там и не появятся. При создании любого правила для Source\ Destination есть опция Invert match.
Это и есть (!). И, еще раз, задается она в собственно правиле, где вы можете использовать алиасы, хоть с negation (!=Invert match), хоть без.

lucas1

Спасибо за подсказку опции Invert match в правилах.
Я за это как-то забыл. Но ведь получается соответствие: все - кроме исключений адресов, которые я указал.
А хотелось бы соответствие: данная подсеть - кроме исключений адресов этой подсети, которые я указал.

Я думаю это особенно актуально для правил LAN.

Тем более в классическом packet filter такое было.

Konstanti

@lucas1 в классическом pf файл pf.conf Вы создаёте сами, а тут программа. Не все функции pf можно реализовать через Web интерфейс,к сожалению. Приходится мириться с этим, или 'допиливать' софт под себя.

lucas1

Еще хочу уточнить. В Firewall\Aliases\ возможно ли использование при указании FQDNs знаков подстановки * и ?. Ну вроде как t?st*dd.com или *.test.com?

Konstanti

@lucas1 а как по-вашему будет найден ip адрес алиаса со знаком '*'? Pf в своих правилах оперирует ip адресами, а не доменными именами

Konstanti

@lucas1 Если у Вас стоит задача отфильтровывать трафик по доменному имени , то надо использовать прокси или более хитрые технологии , умеющие "копаться" в содержимом IP,TCP/UDP пакета .

В чем состоит задача ?

lucas1

есть необходимость отключить доступ на некоторые сайты в Интернете. О каких более хитрых технологиях вы писали?

Konstanti

@lucas1 Доброе утро
Отключить по ip или по доменному имени ????
Желательна конкретика , хотя бы для примера ( реальном примере )

lucas1

По доменному имени. Например facebook.com, vk.com, twitter.com и т.д.

Konstanti

@lucas1
Рассмотрите squid

Konstanti

@oleg1969
А если IP "плавающий" ?
Например , для paypal.com всякий раз разные IP возвращает DNS сервер
Я бы тут блокировал все на уровне DNS запроса
c 3-х разных хостов пинг paypal.ru
64 bytes from 23.12.80.69: icmp_seq=0 ttl=55 time=18.652 ms
64 bytes from 23.12.80.69: icmp_seq=1 ttl=55 time=18.532 ms

64 bytes from 23.200.145.66: icmp_seq=0 ttl=58 time=54.327 ms
64 bytes from 23.200.145.66: icmp_seq=1 ttl=58 time=55.026 ms
64 bytes from 23.200.145.66: icmp_seq=2 ttl=58 time=54.514 ms

64 bytes from a23-37-170-170.deploy.static.akamaitechnologies.com (23.37.170.170): icmp_seq=1 ttl=59 time=5.77 ms
64 bytes from a23-37-170-170.deploy.static.akamaitechnologies.com (23.37.170.170): icmp_seq=2 ttl=59 time=5.48 ms

PbIXTOP

@oleg1969 said in Alias URL Table:

@konstanti said in Alias URL Table:

@oleg1969
А если IP "плавающий" ?

Ну тогда pfBlockerNG!

Только не надо забывать, что необходимо будет заблокировать все альтернативные способы ресолва DNS записей.

lucas1

Да покв без Squid. Насчет плавающего IP. Т.е. FQDN в Firewall\Aliases\ разрешаются при старте PfSense,потом кешируются, а не при каждом обращении к правилу? А списки FQDN pfBlockerNG работают по другому?

Konstanti

@lucas1
По поводу "плавающего" ip - для того чтобы отловить такое , нужно по ip получать имя хоста , и тогда уже проверять , совпадет - не совпадет. Думаю , что PF такое не умеет .
Полагаю , что PFBlocker работает с DNS запросами и уже по ним анализирует свои списки доступа .

lucas1

То, что paypal.ru отдает разные IP - это я полагаю опция round-robin DNS сервера.

Визуально списки FQDN Firewall\Aliases\ и pfBlockerNG ничем не отличаются. Я понимаю, что задача pfBlockerNG автоматически создать правило на основе конкретного списка, указанного в настройках pfBlockerNG. Т.е. либо вручную правило через списки FQDN Firewall\Aliases\ создавать, либо автоматически через pfBlockerNG. Вопрос в том, что непонятно как происходит разрешение конкретного FQDN в данном списке для данного правила, содержащего Alias. Т.е я хотел сказать если nslookup paypal.ru разрешается сейчас в 64.4.250.13 64.4.250.14 64.4.250.19 64.4.250.20,
то при наличии FQDN paypal.ru в алиасе в правиле, разрешение FQDN будет разовым или постоянным при обращении к правилу? Єто я на случай, если завтра nslookup paypal.ru будет разрешаться вообще в другие IP, а PfSense не перезагружался.

PbIXTOP

@lucas1 said in Alias URL Table:

то при наличии FQDN paypal.ru в алиасе в правиле, разрешение FQDN будет разовым или постоянным при обращении к правилу? Єто я на случай, если завтра nslookup paypal.ru будет разрешаться вообще в другие IP, а PfSense не перезагружался.

Все зависит от настройки PfSense, где-то есть настройка с какой периодичностью ресолвятся домены из списков, System / Advanced / Firewall & NAT / Aliases Hostnames Resolve Interval 300 секунд

lucas1

Спасибо за ответ.