Сегодня мы рассмотрим механизм, родственный объектным группам в ASA, о которых ранее писал Сергей. Группы позволяют сделать правила МСЭ более читаемыми и масштабируемыми за счет использования ссылки на группу вместо явного перечисления объектов.
Группы настраиваются в set firewall group ...
Какие они бывают? Сейчас доступно три вида групп:
- network-group — группа подсетей;
- address-group — группа хостов;
- port-group — группа портов.
Вместо того, чтобы описывать синтаксис, просто приведу живые примеры групп — там все тривиально.
firewall { group { address-group Address-Group { address 192.0.2.10 address 192.0.2.11 address 192.0.2.12 description "Some addresses" } network-group Network-Group { description "Some networks" network 192.0.2.0/24 network 198.51.100.0/24 network 203.0.113.0/24 } port-group Port-Group { description "Some ports" port 500 port 4500 } }
Когда группы созданы, их можно указывать как критерии в правилах МСЭ, в опциях source group NAME
и destination group NAME
. Примеры из моего конфига:
firewall { rule 105 { action accept protocol esp source { group { address-group IPsec-Peers } } } } }
Вот, собственно и все. Надеюсь, вам эта возможность тоже сэкономит время и силы при настройке МСЭ.
А зачем Виатта выделяет отдельно хосты и сети? У циски, как ты знаешь, сетевая группа вполне может содержать сеть с маской /32. Есть какие-нить ограничения?
Группы очень удобны, по-любому. Даже на рутерах цискиных, где только сети.
В network-group почему-то нельзя включать /32. Это ограничение бэкенда (называется он IP sets, плагин к netfilter). Надо будет как-нибудь спросить у авторов, в чем была их мотивация.
А как в IOS группы настраиваются?
Примитивно. Начиная с 12.4(20)Т
object-group {ИМЯ}
{NET / MASK}
Вон оно как. Отстал я от жизни (:
Надо все таки что-нибудь из младших ISR домой брать для экспериментов.