Nội dung bài viết
9 Floating Rules
Floating Rules là một loại rule nâng cao đặc biệt có thể thực hiện các hành động phức tạp không thể thực hiện được với các rule trên interface hoặc group tabs. Các Floating rule có thể hoạt động trên nhiều giao diện theo hướng inbound, outbound hoăc cả hai hướng. Việc sử dụng filgter inbound và outbound làm cho việc thiết kế các rule phức tạp hơn và dễ bị lỗi của người dùng, nhưng chúng có thể được mong muốn trong các ứng dụng cụ thể.
Hầu hết các cấu hình trong firewall sẽ không bao giờ có floating rules hoặc chỉ có một traffic shaping.
9.1 Precautions/Caveats
Floating rules có thể mạnh hơn rất nhiều so với các rule khác, nhưng nó gây khó hiểu hơn và dễ mắc lỗi dẫ đến hậu quả không mong muốn khi pass hoặc block traffic.
Floating rules trong hướng inbound, đã áp dụng multiple WAN, sẽ không được thêm reply-to như họ đã làm với interface rule riêng lẻ, do đó vấn đề tương tự tồn tại ở đây như tồn tại với các interface group: Lưu lượng truy cập sẽ luôn thoát ra khỏi mạng WAN bằng default gateway và sẽ không quay trở lại đúng với mạng WAN mà nó đã nhập.
Do sự không quen thuộc của người dùng với Floating rules, họ có thể không nghĩ đến việc tìm kiếm các rule ở đó khi duy trì firewall. Như vậy, việc tìm kiếm có thể khó khăn hơn một chút cho việc quản lý vì nó không phải là nơi rõ ràng để tìm kiếm các rule.
Hãy cẩn thận khi xem xét nguồn và đích của các gói tin phụ thuộc vào hướng inbound và outbound. Ví dụ, các rule trong hướng outbound trên mạng WAN sẽ có nguồn nội bộ của firewall ( sau NAT) và dích từ xa.
9.2 Potential Uses
Việc sử dụng phổ biến nhất của Floating rules là cho ALTQ traffic shaping. Tab Floating rules là loại rule duy nhát có thể khớp và sắp xếp lưu lượng truy cập mà không cần vượt qua lưu lượng truy cập một cách rõ ràng. Một cách khác để sử dụng các floating rule là kiểm soát lưu lượng truy cập rời khỏi firewall. Floating rules có thể ngăn firewall tiếp cận với địa chỉ IP, port,…
Các ứng dụng phổ biến khác sẽ đảm bảo rằng không có lưu lượng truy cập nào có thể thoát ra từ các đường dẫn khác vào mạng an toàn, bất kể các rule tồn tại trên các interface khác. Bằng cách block outbound đi đến một mạng an toàn từ tất cả trừ các vị trí đã được phê duyệt, khả năng sau đó vô tình cho phép lưu lượng truy cập vào qua một số đường dẫn không mong muốn khác sẽ giảm xuống. Tương tự, chúng có thể được sử dụng để ngăn lưu lượng truy cập dành cho private network rời khỏi giao diện WAN, để ngăn lưu lượng truy cập VPN bị rò rỉ.
Như đã đề cập trước đó trong interface rules, chúng cũng có thể thực hiện hiệu quả thời gian chờ trạng thái, hoạt động tag/match, rule “no state” và rule “sloppy state” cho định tuyến không đối xứng.
9.3 Processing Order
Theo hướng inbound, về cơ bản floating rules hoạt động giống như các interface rule hoặc group rule ngoại trừ việc chúng được xử lý trước. Tuy nhiên, hướng outbound sẽ khó hiểu hơn một chút.
Firewall rules được xử lý sau NAT rules, vì vậy các rule theo hướng outbound trên mạng WAN có thể không bao giờ khớp với nguồn địa chỉ IP local/private nếu outbound NAT đang hoạt động trên interface đó. Vào thời điểm nó chạm vào rule, địa chỉ nguồn của gói tin bây giờ là địa chỉ IP của interface WAN. Trong hầu hết trường hợp, trường hợp này có thể được thực hiện xung quanh bằng cách sử dụng các tùy chọn phù hợp để gắn thẻ một gói tin trên mạng LAN trên đường vào và sau đó phù hợp với thẻ đó khi thoát khỏi firewall.
Floating rules được xử lý trước interface group rules và interface rules, vì vậy điều này cũng phải được xem xét.
9.4 Match Action
match action là duy nhất đối với floating rule. một rule với match action sẽ không pass hoặc block một gói tin, nhưng chỉ phù hợp với nó cho mục đích gán lưu lượng truy cập cho hàng đợi hoặc hạn chế cho việc traffic shaping. Match rule sẽ không hoạt động với tính năng Quick được enable.
9.5 Quick
Quick console xem việc xử lý rule có dừng khi rule được khớp hay không. Hành vi Quick được thêm vào tất cả các interface tab rule tự động, nhưng trên floating rule thì nó là tuỳ chọn. Nếu không kiểm tra Quick, rule sẽ chỉ có hiệu lực nếu không có rule nào khác khớp với lưu lượng truy cập. Nó sẽ đảo ngược hành vi của “first match wins” thành “last match wins”.
Sử dụng cơ chế này, một hành động mặc định của các thứ hạng có thể được tạo thủ công sẽ chỉ có hiệu lực khi không có quy tắc nào khác phù hợp, tương tự như default block rules trên mạng WAN.
Trong hầu hết các tình huống, chúng ta nên lựa chọn Quick. Có một số tình huống cụ thể mà việc bỏ chọn Quick là cần thiết, nhưng chúng ở giữa few và far. Đối với hầu hết các tình huống, rule duy nhất mà họ sẽ có nếu không được chọn Quick là match rules traffic shaper rules.
9.6 Interface
Lựa chọn Interface cho floating rules khác với interface rules thông thường. Nó là một box có nhiều lựa chọn để chọn một, nhiều hoặc tất cả các interface có thể lựa chọn. Ctrl-click vào các interface để chọn từng interface hoặc sử dụng các kết hợp click/drag hoặc shift-click để chọn nhiều interface.
9.7 Direction
Floating rules không giới hạn hướng inbound như interface rules. Họ cũng có thể hành động theo hướng outbound bằng cách chọn out ở đây hoặc cả hai hướng bằng cách chọn any.
Hướng out rất hữu ích để filter lưu lượng truy cập từ chính firewall, để khớp với lưu lượng truy cập không mong muốn khác đang cố gắng thoát khỏi interface hoặc để cấu hình đầy đủ cho các rule “sloppy state”, rule “no state” hoặc thời gian chờ trạng thái thay thế.
9.8 Marking và Matching
Sử dụng trường Tag và Tagged, kết nối có thể được đánh dấu bằng interface tab rule và sau đó phù hợp theo hướng outbound trên floating rule. Đây là một cách hữu ích để hành động trên lưu lượng truy cập ra ngoài WAN từ một máy chủ nội bộ cụ thể mà không thể khớp được do NAT che nguồn. Nó cũng có thể được sử dụng tương tự để áp dụng shaping gửi đi trên mạng WAN từ lưu lượng được gắn thẻ cụ thể trên đường vào firewall.
10 Phương pháp sử dụng địa chỉ ip public Additional
Các phương pháp triển khai thêm các địa chỉ IP public khác nhau tùy thuộc vào cách các địa chỉ được ủy quyền, kích thước của việc phân bổ và các mục tiêu cho môi trường mạng riêng biệt. Để sử dụng địa chỉ IP công cộng bổ sung với NAT, ví dụ, firewall sẽ cần địa chỉ IP ảo. Có hai tùy chọn để gán trực tiếp địa chỉ IP public cho máy chủ: định tuyến subnet IP public và bridging.
10.1 Lựa chọn giữa định tuyến, bridging và NAT
Các địa chỉ IP private bổ sung có thể được đưa vào sử dụng bằng cách chỉ định trực tiếp chúng trên các hệ thống sẽ sử dụng chúng hoặc bằng cách sử dụng NAT. Các tùy chọn khả dụng phụ thuộc vào cách ISP cấp phát địa chỉ.
Additional static IP addresses
Phương pháp sử dụng địa chỉ IP private tĩnh bổ sung khác nhau tùy thuộc vào loại assignment. Mỗi tình huống phổ biến được mô tả ở đây.
Single IP Subnet on WAN
Với một public IP subnet duy nhất trên WAN, một trong các địa chỉ IP public sẽ nằm trên router upstream, thường thuộc về ISP và một trong các địa chỉ IP khác sẽ được chỉ định làm địa chỉ IP WAN trên pfSense. Các địa chỉ IP còn lại có thể được sử dụng với NAT, bridging hoặc kết hợp cả hai.
Để sử dụng địa chỉ với NAT, hãy add Proxy ARP, IP alias hoặc địa chỉ IP ảo loại CARP.
Để gán địa chỉ IP public trực tiếp cho các host phía sau firewall, một interface dành riêng cho các host phải được Bridg tới mạng WAN.
Khi được sử dụng với tính năng Bridging, các host với địa chỉ IP public được chỉ định trực tiếp phải sử dụng default gateway như mạng WAN của firewall: router ISP upstream. Điều này sẽ tạo ra những khó khăn nếu các host với địa chỉ IP public cần phải bắt đầu kết nối với các host đằng sau các interface khác của firewall, vì ISP gateway sẽ không định tuyến lưu lượng truy cập cho các internal subnet trở lại firewall.
Small WAN IP Subnet with Larger LAN IP Subnet
Một số ISP sẽ phân bổ một IP subnet nhỏ làm nhiệm vụ “WAN side”, đôi khi được gọi là mạng truyền tải hoặc mạng liên kết và định tuyến một mạng con bên trong lớn hơn tới firewall. Thông thường đây là a /30 ở phía WAN và a /29 hoặc lớn hơn để sử dụng bên trong firewall. Nhà cung cấp dich vụ router được gán một đầu của /30, thường là địa chỉ IP thấp nhất và firewall được gán địa chỉ IP cao hơn. Sau đó, nhà cung cấp định tuyến subnet thứ hai đến địa chỉ IP WAN của firewall. IP subnet được bổ sung có thể được firewall sử dụng trên interface LAN hoặc OPT được định tuyến với các địa chỉ IP public được gán trực tiếp cho các host, với NAT sử dụng loại VIP khác hoặc kết hợp cả hai. Kể từ khi địa chỉ IP được chuyển đến firewall, ARP sẽ không cần nữa vì vậy mục VIP là không cần thiết để sử dụng với NAT. Bởi vì pfSense là gateway trên phân đoạn local, việc định tuyến từ các local subnet host public đến mạng LAN dễ dàng hơn nhiều so với trường hợp bridge được yêu cầu khi sử dụng một IP subnet. public.
Multiple IP subnets
Trong các trường hợp khác, một trang web có thể được phân bổ nhiều mạng con IP từ ISP. Thông thường khi điều này xảy ra, trang web bắt đầu với một trong hai sắp xếp được mô tả trước đó, và sau đó khi yêu cầu địa chỉ IP bổ sung trang web được cung cấp với một IP subnet bổ sung. Subnet bổ sung này sẽ được ISP định tuyến đến tường lửa, đến địa chỉ IP WAN của nó trong trường hợp có một firewall duy nhất hoặc tới CARP VIP khi sử dụng HA. Nếu nhà cung cấp từ chối định tuyến IP subnet tới firewall mà thay vào đó định tuyến nó đến router của họ và sử dụng một trong các địa chỉ IP từ subnet làm địa chỉ IP gate, thì firewall sẽ cần sử dụng Proxy ARP VIP, IP Alias VIP, hoặc kết hợp alias IP và CARP VIP cho mạng con bổ sung. Nếu có thể, nhà cung cấp nên định tuyến IP subnet tới firewall vì nó giúp dễ dàng làm việc hơn bất kể firewall đang được sử dụng. Nó cũng giúp loại bỏ sự cần thiết khi phải ghi 3 địa chỉ IP trong subnet bổ sung, một cho địa chỉ mạng, một cho địa chỉ broadcast và một cho địa chỉ IP gateway. Với một subnet đuọc định tuyến, toàn bộ mạng con có thể sử dụng được kết hợp với NAT.
Additional IP Addresses via DHCP
Một số ISP yêu cầu lấy thêm địa chỉ IP thông qua DHCP. Đây không phải là một phương tiện tốt để lấy nhiều địa chỉ IP công cộng và phải tránh trong bất kỳ mạng nghiêm trọng nào. Kết nối business-class không yêu cầu điều này. PfSense là một trong số ít firewall có thể được sử dụng ở bất kỳ khả năng nào với địa chỉ IP bổ sung từ DHCP. Điều này cung cấp tính linh hoạt hạn chế trong những gì firewall có thể làm với các địa chỉ này, chỉ để lại hai tùy chọn khả thi.
Bridging
Nếu các địa chỉ IP bổ sung từ DHCP phải được chỉ định trực tiếp cho hệ thống sẽ sử dụng chúng, bridging là lựa chọn duy nhất. Sử dụng OPT interface bridged với WAN cho các hệ thống này và hệ thống phải được cấu hình để lấy địa chỉ IP bằng DHCP.
Pseudo multi-WAN
Tùy chọn duy nhất để firewall kéo các địa chỉ DHCP này dưới dạng cho thuê là triển khai multi-WAN giả. Install một network interface cho mỗi địa chỉ IP public và cấu hình từng giao diện cho DHCP. Cắm tất cả các interface vào một switch giữa firewall và modem hoặc router. Kể từ khi firewall có nhiều interface chia sẻ một tên miền broadcast duy nhất, enable Suppress ARP messages trên tab System > Advanced, Networking để loại bỏ cảnh báo ARP trong system log, đó là bình thường trong loại triển khai này.
Việc chỉ sử dụng địa chỉ multiple public IP được gán theo cách này là để forwarding port. Port forwards có thể được sử dụng trên mỗi interface WAN sử dụng địa chỉ IP được máy chủ ISP DHCP gán cho giao diện đó. Outbound NAT đi đến các OPT WAN sẽ không hoạt động vì giới hạn là mỗi WAN phải có một địa chỉ IP gateway duy nhất để hướng lưu lượng truy cập ra khỏi WAN đó một cách chính xác.