¶ Aliases
Los alias son listas nombradas de redes, hosts o puertos que pueden utilizarse como una entidad seleccionando el nombre del alias en las distintas secciones compatibles del cortafuegos. Estos alias son especialmente útiles para condensar las reglas del cortafuegos y minimizar los cambios.
Los alias pueden añadirse, modificarse y eliminarse a través de Firewall ‣ Aliases.
¶ Tipos de alias:
| Type | Description |
|---|---|
| Hosts | Hosts individuales por IP o Nombre de Dominio Completamente Calificado o exclusiones de hosts |
| Networks | Toda la red p.e. 192.168.1.1/24 o exclusión de la red p.e. !192.168.1.0/24 |
| Ports | Números de puerto o un rango de puertos como 80:89 |
| MAC addresses | Dirección MAC o direcciones mac parciales como f4:90:ea |
| URL (IPs) | Una tabla de direcciones IP que se obtiene una vez |
| URL Tables (IPs) | Una tabla de direcciones IP que se obtiene a intervalos regulares. |
| GeoIP | Seleccione países o regiones enteras |
| Network group | Combinar diferentes alias de tipo de red en uno solo |
| Dynamic IPv6 Host | Una entrada de Host que se actualizará automáticamente en un cambio de prefijo |
| BGP ASN | Asigna los números de sistema autónomo (AS) a las redes de las que son responsables. |
| Internal (automatic) | Alias internos gestionados por el producto |
| External (advanced) | Alias gestionado externamente, esto sólo maneja el marcador de posición. El contenido se establece desde otra fuente (plugin, llamada api, etc) |
¶ Hosts
Los hosts pueden introducirse como una única dirección IP, un rango (separado con un signo menos o guion medio, por ejemplo, 10.0.0.1-10.0.0.10) o un nombre de dominio completo.
Si se utiliza un nombre de dominio completo, el nombre se resolverá periódicamente (por defecto, cada 300 segundos).
Ejemplo:
Por ultimo se deben aplicar cambios.
¶
Networks
Las redes se especifican en formato Classless Inter-Domain Routing (CIDR). Utilice la máscara CIDR correcta para cada entrada. Por ejemplo, un /32 especifica un único host IPv4, o /128 especifica un único host IPv6, mientras que /24 especifica 255.255.255.0 y /64 especifica una red IPv6 normal. Tipo de red Los alias pueden contener hosts o redes de exclusión. Las direcciones de exclusión comienzan con el signo "!" (por ejemplo, !192.168.0.0/24) y pueden utilizarse para excluir hosts o redes del Alias actual o del Alias de grupo de redes
¶ Ports
Los puertos se pueden especificar como un solo número o como un rango usando dos puntos :. Por ejemplo, para añadir un rango de 20 a 25 se introduciría 20:25 en la sección Puertos.
¶
MAC Addresses
Las direcciones mac de hardware se pueden especificar como un valor hexadecimal (parcial), como F4:90:EA para que coincida con todas las direcciones de Deciso o f4:90:ea:00:00:01 para que coincida con un solo elemento (la entrada no distingue entre mayúsculas y minúsculas).
El funcionamiento de estos alias es aproximadamente el mismo que el de los nombres de host en los alias de tipo host, se resuelven en intervalos periódicos desde las tablas arp y ndp.
¶ GeoIP
Con el alias GeoIP puede seleccionar uno o más países o continentes enteros para bloquear o permitir. Utilice la casilla de verificación de todos para seleccionar todos los países dentro de la región dada.
Para utilizar GeoIP, es necesario configurar una fuente en el Firewall ‣ Aliases -> pestaña de configuración de GeoIP, la fuente más utilizada es MaxMind en donde debemos colocar la siguiente liga:
https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=JHIBhQCdewrDlOds&suffix=zip
¶ Aplicar Aliases en reglas de firewall:
Los alias se pueden utilizar en las reglas del cortafuegos para facilitar la administración de grandes listas. Por ejemplo, podríamos necesitar una lista de direcciones IP remotas que deberían tener acceso a ciertos servicios, cuando algo cambie sólo tenemos que actualizar la lista.
Vamos a crear un simple alias para permitir el acceso de 3 direcciones IP remotas a un servidor ipsec para una conexión de túnel de sitio a sitio
- 192.168.100.1
- 192.168.200.2
- 192.168.202.2
Llamamos a nuestra lista remote_ipsec y actualizamos nuestras reglas de firewall en consecuencia.
