URL Alias in pfSense

Per chiudere la panoramica sugli alias che ci ha accompagnato in queste ultime settimane andiamo ad analizzare una tipologia di alias molto utile, che è quella delle URL Tables: posso caricare su un sito web, in una pagina raggiungibile dal firewall (pubblica o privata) un txt con un elenco di URL o IP e il sistema sarà in grado di fare il fetch di tutti i valori contenuti, utilizzandoli all'interno delle regole.

Questo permette di avere alias dinamici basati sul contenuto del file di cui viene fatto il retrieve.

Applicazioni interessanti possono essere quelle per creare regole di blocco sfruttando blacklist pubbliche, piuttosto che regole di permit basate su elenchi custom che andiamo a inserire in un txt online.

Vediamo i passi per creare una regola sfruttando questa funzionalità:

Creiamo l'alias di tipo URL Table (IPs): Firewall > Alias > URLs > Add

Verifichiamo che il sistema sia in grado di fare il fetch degli IP presenti su quella pagina web: Diagnostics - Tables - Selezioniamo l'Alias appena creato:

Scorrendo la pagina sono elencate tutte le entry presenti che possono essere anche in numero molto alto (gli Alias URL Table supportano oltre 30k indirizzi)

Andiamo ora a creare una regola ad hoc per vietare l'accesso a questi ip dalla LAN

Allo stesso modo potremo pubblicare dei file con un elenco di IP consentiti e creare regole che permettano l'accesso a specifici servizi in base agli IP sorgenti in esso contenuti.

Questa funzionalità spesso è utile quando vanno mantenute aggiornate in automatico liste di ip molto lunghe o spesso variabili e sopratutto liste di ip di fornitori di servizi terzi che pubblicano direttamente un url contenenti le liste di ip aggiornate al variare del loro indirizzi.

La nomenclatura degli Alias in pfSense

 La scorsa settimana abbiamo visto a cosa servono gli Alias.

Oggi voglio condividere con voi la nomenclatura che utilizzo per mantenerli ordinati:

• Prefisso

IP_ = per gli IP

P_ = per le porte

NET_ = per liste di subnet

FQDN_ = per liste di FQDN

URL_ = per liste di IP/Porte/… scaricati da URL

• Subnet di riferimento per IP o Subnet

• Nome dell’alias

Ottenendo quindi questa forma: PREFISSO_SUBNET_NOME

Esempi possono essere:

IP_LAN_SRV_WEB_01

P_VOIP_UDP

NET_VOIP_IP_PHONE

URL_GOOGLE

Nella scelta dei nomi il trattino alto e lo spazio non sono utilizzabili, andremo quindi ad usare _

Utilizzare gli Alias in pfSense

Gli Alias in pfSense sono dei placeholders per IP, Network, Porte e FQDN

Rappresentano uno strumento molto utile al fine di migliorare la comprensione delle regole che creiamo e la loro modifica in modo massivo.

Per gestire gli Alias dobbiamo posizionarci su Firewall > Alias

E' consigliato stabilire una nomenclatura standard per mantenere ordine e leggibilità

Cliccando su Add possiamo aggiungere un Alias assegnadogli un nome secondo la nomenclatura stabilita, scegliendo il tipo (host, port, ip table, ecc) ed inserendone infine i valori.

Gli Alias sono utilizzabili in modo annidato e per contenere più valori contemporaneamente.

Possono essere utilizzati in diversi punti della configurazione per creare regole e si autocompletano e autovalidano: se inizio a scrivere il nome di un alias in un campo, il sistema mi suggerisce con l'autocompletamento tutti i nome che matchano, ma solo se sono alias compatibili con quella tipologia di campo (es. un Port Alias mi sarà proposto solo in un campo dove va indicata una porto o un port range).