Сегодня мы рассмотрим механизм, родственный объектным группам в ASA, о которых ранее писал Сергей. Группы позволяют сделать правила МСЭ более читаемыми и масштабируемыми за счет использования ссылки на группу вместо явного перечисления объектов.
Группы настраиваются в set firewall group ...
Какие они бывают? Сейчас доступно три вида групп:
- network-group — группа подсетей;
- address-group — группа хостов;
- port-group — группа портов.
Вместо того, чтобы описывать синтаксис, просто приведу живые примеры групп — там все тривиально.
firewall {
group {
address-group Address-Group {
address 192.0.2.10
address 192.0.2.11
address 192.0.2.12
description "Some addresses"
}
network-group Network-Group {
description "Some networks"
network 192.0.2.0/24
network 198.51.100.0/24
network 203.0.113.0/24
}
port-group Port-Group {
description "Some ports"
port 500
port 4500
}
}
Когда группы созданы, их можно указывать как критерии в правилах МСЭ, в опциях source group NAME и destination group NAME. Примеры из моего конфига:
firewall {
rule 105 {
action accept
protocol esp
source {
group {
address-group IPsec-Peers
}
}
}
}
}
Вот, собственно и все. Надеюсь, вам эта возможность тоже сэкономит время и силы при настройке МСЭ.
А зачем Виатта выделяет отдельно хосты и сети? У циски, как ты знаешь, сетевая группа вполне может содержать сеть с маской /32. Есть какие-нить ограничения?
Группы очень удобны, по-любому. Даже на рутерах цискиных, где только сети.
В network-group почему-то нельзя включать /32. Это ограничение бэкенда (называется он IP sets, плагин к netfilter). Надо будет как-нибудь спросить у авторов, в чем была их мотивация.
А как в IOS группы настраиваются?
Примитивно. Начиная с 12.4(20)Т
object-group {ИМЯ}
{NET / MASK}
Вон оно как. Отстал я от жизни (:
Надо все таки что-нибудь из младших ISR домой брать для экспериментов.