URL вместо IP в правилах фаервола и NATa
-
Подскажите, плиз, можно ли вместо явно указанных IP адресов в правилах фаервола и НАТа вводить URL адреса сайтов. Допустим, сайт www.web.com имеет ip 123.123.123.123, но вместо указания ip вписать в правила сам URL сайта www.web.com. Это необходимо для создания исходящих правил фаервола с LAN на динамические адреса.
Как это можно сделать? -
Только Squid прокси.
-
Разобрался сам. Нужно прописать в Firewall -> Aliasses необходимые алиасы веб-доменов. И при этом выбрать тип алиаса - Network. А в правилах фаервола затем указать не ip адрес, а имя алиаса.
-
Diagnostics -> Tables Вы точно уверены что там домен а не ИР?
Файрвол не умеет распознавать доменное имя только ИР. -
Да, так и есть - домен. Из Списка в Diagnostics -> Tables выбираю любой мой созданный алиас на домен и в рез-те выводится ip этого домена. К тому же все правила файрвола, созданные на основе алиасов, работают без проблем.
-
Если по простому: файрволом Вы блокируете не домен а хост. На одном хосте могут находится несколько доменов.
Если вы хотите заблокировать хост, то лучше в таблицу вписать ИР а не домен, так как при загрузке правил необходимо время для разрешения имени домена. По умолчанию файрвол блокирует все соединения до удачной загрузки правил. В связи с этим при перезагрузке сервера если вовремя не будет получен ответ или не получен вовсе или домен закроют загрузка правил может потерпеть неудачу.
-
Да Вы правы, файрвол блокирует хост. Я тут сам немного описался. На самом деле имел в виду хост. Но суть Вы поняли, что мне нужно разрешить хост по его DNS имени (в данном случае домен, который он держит), т.к. его IP динамический.
Возможно, что это и неправильно, но в моем случае другого выхода я не нашел. Хотя можно конечно вбить ip адрес хоста, который нужно разрешить и потом периодически (с помощью каких-либо утилит) отслеживать изменение ip хоста и следом в случае необходимости исправлять.
Я тут подумал, может можно будет создать какой-нибудь внешний текстовый док-нт, в котором будет явно указан ip хоста, а какая-нибудь сторонняя утилита периодически будет разрешать ip по DNS и вписывать его в этот текстовичок в случае его изменения, а в правилах файрвола указать этот файлик. Тогда будет все работать правильно. Но возможно ли так сделать? -
ПФ имеет возможность динамической модификации таблиц по средствам запуска скрипта по расписанию, например:
pfctl -t <table_name>-T flust – очистка таблицы
pfctl -t <table_name>-T add <host_name>-- добавление хоста по имени FQDN или ИР адресу.http://www.freebsd.org/cgi/man.cgi?query=pfctl&sektion=8</host_name></table_name></table_name>
-
Спасибо, поразбираюсь. Как я понимаю, это нужно делать с консоли а в пфсенсе создать алиас на созданный url table и в правилах уже указать этот алиас?
-
Совершенно верно, манипуляции проводятся с уже готовым алиасом.