别名是命名的网络、主机或端口列表,可以通过在防火墙的各个受支持部分中选择别名来用作一个实体。这些别名对于压缩防火墙规则和最小化的修改特别有用。
别名类型
OPNsense提供以下别名类型:
| 类型 | 描述 |
|---|---|
| 主机 | 按IP或完全合格的域名限定单个主机 |
| 网络 | 整个网络如:192.168.1.1/24 |
| 端口 | 端口号或端口范围如20:30 |
| 网址表 | 可以获取的IP地址表 |
| GeoIP | 选择国家或整个地区 |
主机
主机可以作为单个IP地址或完全合格的域名输入。使用完全合格的域名时,我们会定期解析名称(默认值为300秒)。
- 例如
-
我们为www.youtube.com创建一个别名表
应用更改,然后查看我们新创建的pf表的内容。转到 Firewall->Diagnostics->pfTables(防火墙 – >诊断 – > pfTables)并选择我们新创建的youtube表。
网络
网络以无类别域间路由格式(CIDR)指定。为每个条目使用正确的CIDR掩码。例如,a / 32指定单个IPv4主机,或/ 128指定单个IPv6主机,而/ 24指定255.255.255.0,/ 64指定普通IPv6网络。
端口
可以使用冒号将端口指定为单个数字或范围。例如,要添加20到25的范围,可以在端口部分输入20:25 。
网址表
URL表可用于从远程服务器获取IP地址列表。有几个免费的IP列表,最值得一提的是Spamhaus的“Do not Route or Peer”列表。
GeoIP
使用GeoIP别名,您可以选择一个或多个国家/地区,或者整个大陆来进行阻止或允许。使用toggle all((全部切换))复选框选择指定区域内的所有国家/地区。
此功能已使用17.7.7进行了重新设计,并取代了通过IPS进行的GeoIP阻止。
导入功能
要快速添加别名列表,OPNsense还提供导入功能,您可以在其中粘贴或输入文本格式的列表。
常见示例是IP、网络、黑名单等的列表。该列表可以包含IP地址,具有或不具有CIDR前缀,IP范围、空行(被忽略)以及每个IP之后的可选描述。例如:
172.16.1.2
172.16.0.0/24
10.11.12.100-10.11.12.200
192.168.1.254 Home router
10.20.0.0/16 Office network
10.40.1.10-10.40.1.19 Managed switches
在pf防火墙规则中使用别名
可以在防火墙规则中使用别名来轻松管理大型列表。例如,我们可以拥有一个应该可以访问某些服务的远程IP列表,当有任何更改时我们只需要更新列表。
让我们创建一个简单的别名列表,并假设我们有3个远程IP可以访问ipsec服务器以进行站点到站点隧道连接:
- 192.168.100.1
- 192.168.200.2
- 192.168.300.3
高级
对于主机,可以使用列表中的列表。例如:
- critical_servers {10.0.1.1,10.0.1.2}
- other_servers {10.0.1.100,10.0.1.200}
然后通过定义一个新列表来连接它们:
- servers {critical_servers,other_servers}。
最终结果将是一个列表,其中包含一个别名列表(服务器)中的所有IP地址。
