FreeLix nameif

Da WikiSitech.
Vai alla navigazioneVai alla ricerca
nameif
Con questo comando viene assegnato un ruolo ad una interfaccia di rete.
nameif interface_name new_name security
show nameif
ambito di utilizzo In configuration mode.
sintassi Quando parliamo di ruolo, ovviamente, non si intende solo un nome parlante in sostituzone ad un generico ethernetn, ma anche una serie di filtri e meccanismi di controllo del flusso dei pacchetti riconducibili al ruolo interpretato dall'interfaccia stessa. Pensiamo di poter assegnare un valore numerico da 0 a 100 ad ogni interfaccia. Identifichiamo con 100 l'interfaccia più sicura e con 0 quella meno sicura. Potremo istruire il sistema per generare automaticamente delle regole di firewalling che permettano a pacchetti sorgenti da interfacce più sicure di poter andare liberamente verso interfacce strettamente meno sicure. Per questo motivo, all'atto dell'esecuzione del comando, viene creata una catena secondaria iptables referenziata all'interno della catena principale FORWARD e vengono inserite le opportune regole nelle secondarie con un livello di security strettamente minore.
interface_name: l'etichetta che identifica uno specifico device di rete.
new_name: si intende una qualsiasi etichetta che possa facilitare la gestione dell'amministratore della rete. Questa etichetta sostituirà la vecchia etichetta.
security: il valore che identifica la sicurezza è composto dalla costante security seguito, senza spazi, da un numero compreso tra 0 e 100. Il valore prescelto, potrà non essere strettamente univoco a meno dello 0 e del 100 e comunque interfacce con lo stesso valore di security non godranno di alcuna agevolazione.


esempi
Impartendo i seguenti comandi nameif: nameif ethernet0 xlan security70 nameif ethernet1 mylan security20 nameif ethernet2 myisp1 security0 nameif ethernet3 myisp2 security1 nameif ethernet4 mylan2 security30 nameif ethernet5 inside security100 automaticamente dichiariamo delle regole permit da reti con security più alta a reti con security meno alta.
Nell'esempio presentato tutti i pacchetti che nascono mylan, mylan2 e inside possono essere girati verso le interfacce myisp1 e myisp2, ma non viceversa. Così come i pacchetti provenienti da mylan2 possono essere diretti verso mylan ma non viceversa.

configuriamo la prima interfaccia che chiamiamo xlan e le assegno il valore 70, è la prima istruzione nameif e quindi non vengono inserite regole extra se non il jump alla catena secondaria. nameif ethernet0 xlan security70

../plugin/nameif.set ethernet0 xlan 70

          • FASE 1 ******
          • FASE 2 ******
1000

nl[3] iptables -I FORWARD 3 -i xlan -j security-70-xlan

          • FASE 3 ******

prima interfaccia: nessuna implicita bridge name bridge id STP enabled interfaces ethernet2 8000.000a5e062400 no eth2 ethernet1 8000.004063d8678e no eth1 xlan 8000.004063d867f2 no eth0
nello snip sottostante viene assegnata l'interfaccia inside, rispetto all'esempio precedente, si evidenzia meglio il calcolo della posizione per l'inserimento della regola di jump alla posizione 6 e l'inserimento delle regole implicite nelle altre catene secondarie. nameif ethernet1 inside security100

../plugin/nameif.set ethernet1 inside 100 acantho xlan

          • FASE 1 ******
          • FASE 2 ******

4 security-0-acantho all -- anywhere anywhere 5 security-70-xlan all -- anywhere anywhere 0 70::70 nl[6] iptables -I FORWARD 6 -i inside -j security-100-inside

          • FASE 3 ******

elenco interfacce precedenti [acantho xlan] priorita precedenti [] [100] [inside] parametri attuali i[acantho] i_chain[security-0-acantho] i_n[ 2] aggiungo inside --> acantho iptables -I FORWARD 3 -i inside -o acantho -j ACCEPT i[xlan] i_chain[security-70-xlan] i_n[ 2] aggiungo inside --> xlan iptables -I FORWARD 3 -i inside -o xlan -j ACCEPT bridge name bridge id STP enabled interfaces acantho 8000.000a5e062400 no eth2 inside 8000.004063d8678e no eth1 xlan 8000.004063d867f2 no eth0
per vedere come abbiamo rimappato le interfacce: sh nameif

/tmp/mcs.dump.1992672

:nameif
 0:nameif ethernet0 xlan security70
 1:nameif ethernet1 inside security100
 2:nameif ethernet2 acantho security0


Vedi anche configure, access-list, access-group
Torna all'indice

Estratto da "http://wiki.netsitech.com/index.php?title=FreeLix_nameif&oldid=2269"