آموزش و بررسی رول ها (rules) در pfsense

در این سری از مقالات به آموزش و بررسی منوها و گزینه های مختلف در pfsense می پردازیم.

 رول ها (Rules)

پروژه PFSense رول نویسی و ایجاد سیاست های مختلف بر روی شبکه را با توجه به محیط تحت وبش بسیار ساده کرده است .

Rule نویسی در این فایروال برای فیلترینگ بسته های IP به سه حالت منطقی و کلی برای تصمیم گیری درباره وضعیت برخورد با بسته به ترتیب PASS ,  Block و Reject  است که در ادامه به تفصیل درباره هر کدام توضیحاتی آورده شده است.

  PASS:

در این حالت ما میتوانیم به فایروال بگوییم که بسته ای از interface مورد نظر ما وارد یا خارج میشود در صورتی که با سیاسیت های تعریف شده انطباق داشته باشد مورد قبول واقع شود و رد شود .

در واقع این حالت حالت موافقت با ترافیک وارد یا خارج شده است و برای باز کردن مسیر آن جریان ترافیکی مورد نظر فقط میتوانیم از این منطق استفاده کنیم .

جدول ۲٫۲٫۱ به اختصار دررابطه با هریک از اصلاحاتی که در تصویر بالا آمده است توضیحاتی جهت آشنایی بیشتر آورده شده است.

عملیات منطقی که میخواهیم بر روی بسته اعمال شود	Action
در صورتی که تیکاین قسمت زده شود rule مورد نظر غیر فعال میشود	Disabled
اینترفیس یا رابط ورودی ترافیک را از این قسمت انتخاب میکنیم	Interface
نسخه پروتکل TCP/IP را از این قسمت میتوانیم انتخاب کنیم . مانند IPv4 و IPv6	TCP/IP Version
پروتکل ازتباطی را از این قسمت انتخاب میکنیم . مانند TCP , UDP , ICMP یا …	Protocol
آدرس منبع یا جایی که از انجا ترافیک به سمت ما ارسال میشود را در این قسمت مشخص میکنیم	Source
آدرس مقصد یا جایی که ترافیک به آنجا ارسال میشود را مشخص میکنیم	Destination
لیست پورت های آدرس مقصد را که ترافیکبه آنجا ارسال میشود را مشخص می کنیم	Destination port range
در صورتی که این گزینه تیک خورده باشد فایروال در صورت انطباق رول با بسته رسیده آنرا لاگ می کند	Log
در این قسمت می توانید توضیحی درباره رولی که اضافهکرده اید بدهید تا در مراجعات بعدی راحتتر آن را درک کنید.	Description

جدول ۲٫۲٫۱

   Block:

در این حالت ما می توانیم ترافیک ورودی به اینترفیس یا رابط اتصالمان را بطور کامل ببندیم. این بستن به این معناست که اگر ترافیکی ورودی با این رول ما انطباق پیدا کند بسته ارسالی بدون آنکه هرگونه واکنش یا اطلاع به ارسال کننده داده شود از بین می رود.

این حالت black Hole یا سیاه چاله گفته میشود که در کمتر فایروالی آن هم Open Source دیده میشود و برای دور ماندن Host ما از دیدگاه نفوذگران کاربرد بسیاری دارد.

همانطور که در تصویر مشخص است تمام قابلیت های موجود در صفحه تعریف رول به مانند قسمت قبلی است . ار این رو برای اطلاع از تعریف هر قسمت می توانید به جدول ۲٫۲٫۱ مراجعه کنید.

در تصویر زیر نمونه ای از Block شدن پروتکل ICMP و واکنش فایروال نسبت به آن را می بینید.

ICMP-Block

   Reject:

در این حالت هم مانند حالت Block ترافیک ورودی به اینترفیس یا رابط اتصالمان  بسته می شود ولی با این فرق که در صورتی که رول تعریفی ما با ترافیک انطباق پیدا کند یک واکنش به ارسال کننده ارسال می شود . او را از بسته بود جریان ترافیکی ارسالی با خبر می کند.

همانطور که در تصویر مشخص است تمام قابلیت های موجود در صفحه تعریف رول به مانند قسمت قبلی است . ار این رو برای اطلاع از تعریف هر قسمت می توانید به جدول ۲٫۲٫۱ مراجعه کنید.

در تصویر زیر نمونه ای از Reject شدن پروتکل ICMP و واکنش فایروال نسبت آن را می بینید.

ICMP-Reject

  Advanced features-

در ادامه جدولی آمده که قسمت Advanced features را در تعریف رول ها شرح می دهد.

می توانیم سیستم عامل منبع را محدود به گزینه ی خاصی کنیم. مانند unix , windows , linux و …	Source OS
	Diffserv code point
یکسری تنظیمات پیشرفته که می توان تنظیمات مربوط به همه موارد بسته های IP را تغییر داد	Advanced Option
فلگ های مربوط  به پروتکل  TCP را می توان تغییر داد	TCP flags
حالت و نوع بسته را می توان تغییر داد	State type
در صورتی که تیک این قسمت خورده باشد درهنگام سینک H.A این رول سینک نخواهد شد.	No XMLRPC Sync
استاندارد ۸۰۲٫۱p را بر روی بسته IP پیاده سازی می کند	۸۰۲٫۱p
زمان بندی های تعریف شده را بر روی رول اعمال می کند	Schedule
مسیر خروجی بسته هایی که با این رول منطبق شده اند را مشخص می کند	Gateway
صف های تعریف شده در قسمت traffic shaper را از این گزینه می توان بر روی رول اعمال کرد	In/Out
	Ackqueue/Queue
صف های مربوط به محدودیت های لایه ۷ را از این قسمت می توان بر روی رول اعمال کرد	Layer 7

جدول Advanced

برای آشنایی به نام های مستعار (alias) در رول نویسی به اینجا مراجعه کنید.