Псевдонимы
Псевдонимы - это удобный механизм именования списка хостов, сетей, портов для использования в написании правил межсетевого экрана. В случае изменения исходных данных, использование псевдонимов уменьшает количество вносимых изменений в правила межсетевого экрана .
Типы псевдонимов
TING предлагает следующие типы псевдонимов:
Одиночные хосты, указанные по IP адресу или по имени FQDN
( |
|
Адреса сетей в формате IPv4 или IPv6 (к примеру,
|
|
Номер порта или диапазон портов, разделенный двоеточием
( |
|
Список IP адресов, загружаемый единожды с указанного URL |
|
Список IP адресов, загружаемый с указанного URL c заданным интервалом |
|
Страна либо целый регион |
|
Внешний псевдоним (только объявление) |
Совет
Каждый псевдоним может содержать от одного до нескольких значений
Флаг Статистические данные позволяет в дальнейшем просмотреть статистические данные по использованию данного псевдонима в разделе диагностики Диагностика.
Хосты
Хосты могут вводиться как одиночными IP-адресами, так и доменными именами в формате FQDN . При использовании доменного имени происходит периодический его резолвинг (по умолчанию каждые 300 с).
К примеру, одиночная запись псевдонима хоста с использованием доменного имени будет выглядеть следующим образом:
Сети
Сети указываются в формате CIDR . Используются списки сетей IPv4 и IPv6. Сети с масками /32 и /128 соответствуют одиночным хостам соответственно.
Порты
Указываются одиночные порты либо диапазоны портов, разделенные двоеточием, к примеру 2000:3000 будет соответствовать диапазону портов от 2000 до 3000.
URL / Таблицы URL
Списки IP-адресов, загружаемые с удаленных сайтов. Вариант URL загружает список IP однократно, Таблицы URL будет загружать списки IP адресов с заданным интервалом.
GeoIP
Технология GeoIP позволяет использовать в правилах межсетевого экрана удобные географические псевдонимы вместо громоздких списков IP-адресов. Это не только экономит время при создании правил, но и позволяет не отслеживать обновление списка IP-адресов для какого-либо региона. Списки IP-адресов хранятся в TING в формате CIDR и, благодаря двойному кэшированию, обновляются автоматически и всегда находятся в актуальном состоянии. Для того, чтобы воспользоваться этими базами, необходимо настроить плагин соответствующим образом.
Для это выполните следующие шаги:
На странице перейдите на вкладку Настройки GeoIP.
В поле Url впишите ссылку https://geoip.smart-soft.ru/api/v1/geo/region (может быть изменено в будущих версиях).
В поле Протокол выберите
Smart-Soft.Нажмите Применить.
Настройка GeoIP с учётом пакета санкций США, вводимых с 12.09.2024
Внимание
Для TING версии 1.12.0_6 и выше
На странице надо перейти на вкладку Настройки GeoIP и выполнить следующие действия.
В поле Url вписать ссылку https://get-ting.smart-soft.ru/geoip/RU-GeoIP-Country-CSV_20240907.zip (может быть изменено в будущих версиях).
В поле Протокол выбрать
MaxMind.Нажмать кнопку Применить.
На странице надо перейти на вкладку Псевдонимы и выполнить следующие действия:
Нажать + для открытия окна Изменить псевдонимы.
В строке Имя указать имя псевдонима (допускаются латинские буквы, цифры, символы подчеркивания), например
geo.В списке Тип выбрать
GeoIPи, в появившемся справа пустом списке, выбрать протокол IPv4 (или IPv6, если это необходимо). По умолчанию, если это поле оставить пустым, используются оба протокола.В секции Содержание выбрать страны, которые нужно включить в состав псевдонима.
Остальные пункты настроек установить на свое усмотрение.
Нажать Сохранить.
Нажать Применить. Загрузка псевдонимов может занять некоторое время, от нескольких секунд до нескольких десятков минут, в зависимости от количества адресов.
3. Чтобы убедиться, что псевдонимы загружены, необходимо обновить (или перейти) на страницу , в которой надо найти созданный псевдоним в списке. Если все верно, в колонке Загружено должно появиться количество сетей, относящихся к псевдониму, а в колонке Последнее обновление отобразится актуальная дата обновления.
Созданный псевдоним может применяться в любых правилах межсетевого экрана.
Внешние псевдонимы
Содержимое Внешних псевдонимов не изменяется посредством веб-интерфейса. В данном разделе выполняется только объявление псевдонима для его дальнейшего использования в правилах межсетевого экрана. Наполнение содержимого данного псевдонима предполагается внешними скриптами.
Группировка псевдонимов
Для псевдонимов типа Хост и Сети допускается группировка в отдельные псевдонимы. Выполнение группировки облегчает управление псевдонимами и написание правил межсетевого экрана.
К примеру, у вас есть два пула серверов, к которым должны применяться разные правила на одном этапе и одно общее правило на другом. В таком случае удобно сгруппировать сервера в псевдонимы следующим образом:
для индивидуального применения - создать отдельные пулы:
для общего применения - создать общий пул:
Использование псевдонимов в правилах межсетевого экрана
Созданные псевдонимы вы можете использовать в качестве Отправителя либо Получателя при создании правил фильтрования, NAT, переадресации портов.
Импорт/Экспорт
В межсетевом экране TING предусмотрен механизм импорта/экспорта псевдонимов. Для этого, на вкладке Псевдонимы необходимо воспользоваться соответствующими кнопками в правом нижнем углу:
- - скачать;
- - закачать.
Данный функционал позволяет сохранить имеющиеся псевдонимы на локальный диск в формате json и в дальнейшем восстановить их либо перенести на другую систему.