[Anterior: Pools de Direcciones y Balanceo de Carga] [Contenido] [Siguiente: Logging: Registros de Bitácora]

PF: Tagging: Marcado de Paquetes

Índice de Contenidos

Introducción
Asignación de Marcas a los Paquetes
Comprobación de las Marcas Aplicadas
Política de Filtrado
Marcado de Marcos de Ethernet

Introducción

El marcado de paquetes es una forma de marcar paquetes con un identificador interno que más tarde se puede usar para el criterio de las reglas de filtrado y traducción. Mediante el marcado se pueden realizar tareas como la creación de «anillos de confianza» entre interfaces y determinar si los paquetes han sido procesados por las reglas de traducción. También es posible alejarse del filtrado basado en reglas e iniciar un filtrado basado en políticas.

Asignación de Marcas a los Paquetes

Para añadir una marca a un paquete, hay que usar la clave tag:

pass in on $int_if all tag INTERNAL_NET keep state

De este modo, la marca INTERNAL_NET será añadida a cualquier paquete que concuerde con la regla. Nótese que se ha usado keep state; para marcar los paquetes es necesario usar keep state (o modulate state, o synproxy state) en las reglas pass.

El proceso de marcado sigue estas reglas:

Las marcas son «fijas». Una vez que una regla concordante aplica una marca a un paquete, ésta ya no se elimina nunca. Aunque se puede sustituir por una marca diferente.
Debido de la «fijeza» de una marca, un paquete puede tener una marca aunque la última regla concordante no use la clave tag.
A un paquete sólo se le asigna un máximo de una marca por vez.
Las marcas son identificadores internos. Las marcas no se envían fuera a través de la conexión.

Tomemos el siguiente conjunto de reglas como ejemplo:

(1) pass in on $int_if tag INT_NET keep state (2) pass in quick on $int_if proto tcp to port 80 tag \ INT_NET_HTTP keep state (3) pass in quick on $int_if from 192.168.1.5 keep state

A los paquetes que entren por $int_if se les asignará una marca de INT_NET, de acuerdo con la regla #1.
A los paquetes TCP entrantes por $int_if y destinados al puerto 80 se les asignará una marca de INT_NET, de acuerdo con la regla #1. A continuación se sustituirá esa marca con la marca INT_NET_HTTP, de acuerdo con la regla #2.
A los paquetes entrantes por $int_if desde 192.168.1.5 se les permitirá pasar, de acuerdo con la regla #3, ya que es la última regla que concuerda. Sin embargo, si estos paquetes tienen como destino el puerto TCP 80, se les marcará con la marca INT_NET_HTTP; de otro modo se les marcará con la marca INT_NET.

Además de aplicar marcas con reglas de filtrado, con las reglas de traducción de nat, rdr y binat también se puede aplicar marcas a los paquetes si se usa la clave tag.

Comprobación de las Marcas Aplicadas

Para comprobar las marcas que se hayan aplicado hay que usar la clave tagged:

pass out on $ext_if tagged INT_NET keep state

Outgoing packets on $ext_if must be tagged with the INT_NET tag in order to match the above rule. Inverse matching can also be done by using the ! operator: Los paquetes salientes por $ext_if deben ir marcados con la marca INT_NET para que coincidan con la regla anterior. También se pueden realizar comprobaciones a la inversa usando el operador `!':

pass out on $ext_if tagged ! WIFI_NET keep state

Política de Filtrado

La política de filtrado es un acercamiento diferente al de los conjuntos de reglas de filtrado. Para empezar se define una política que configura las reglas según las cuales se dejará pasar a unos tipos de tráfico y se bloqueará a otros. Entonces se clasifican los paquetes dentro de esta política en base al criterio tradicional de dirección/puerto IP de origen/destino, protocolo, etc. Por ejemplo, examinemos la siguiente política de cortafuegos:

Se permite el paso del tráfico desde la LAN interna hacia la DMZ (LAN_DMZ)
Se permite el paso del tráfico desde Internet hacia los servidores en la DMZ (INET_DMZ)
Se permite el paso del tráfico desde Internet que esté siendo redireccionado a spamd(8) (SPAMD)
Se bloqueará cualquier otro tráfico

Nótese que la política cubre todo el tráfico que pasará a través del cortafuegos. La palabra que va entre paréntesis indica la marca que se usará para esa política.

Ahora hay que escribir las reglas de filtrado y traducción para clasificar los paquetes dentro de la política.

rdr on $ext_if proto tcp from <spamd> to port smtp \ tag SPAMD -> 127.0.0.1 port 8025 block all pass in on $int_if from $int_net tag LAN_INET keep state pass in on $int_if from $int_net to $dmz_net tag LAN_DMZ keep state pass in on $ext_if proto tcp to $www_server port 80 tag INET_DMZ keep state

A continuación hay que configurar las reglas que definen esa política.

pass in quick on $ext_if tagged SPAMD keep state pass out quick on $ext_if tagged LAN_INET keep state pass out quick on $dmz_if tagged LAN_DMZ keep state pass out quick on $dmz_if tagged INET_DMZ keep state

Ahora que ya se ha configurado el conjunto de reglas, para efectuar cualquier cambio basta con modificar las reglas de clasificación. Por ejemplo, si se añade un servidor de POP3/SMTP a la DMZ, habrá que añadir reglas de clasificación para el tráfico tipo POP3 y SMTP, como lo siguiente:

mail_server = "192.168.0.10" ... pass in on $ext_if proto tcp to $mail_server port { smtp, pop3 } \ tag INET_DMZ keep state

Con esto se permitirá el paso al tráfico de correo electrónico como parte de la entrada de política INET_DMZ.

Finalmente, el conjunto completo de reglas:

# macros int_if = "dc0" dmz_if = "dc1" ext_if = "ep0" int_net = "10.0.0.0/24" dmz_net = "192.168.0.0/24" www_server = "192.168.0.5" mail_server = "192.168.0.10" table <spamd> persist file "/etc/spammers" # clasificación -- clasificar los paquetes basándose en la política # definida del cortafuegos rdr on $ext_if proto tcp from <spamd> to port smtp \ tag SPAMD -> 127.0.0.1 port 8025 block all pass in on $int_if from $int_net tag LAN_INET keep state pass in on $int_if from $int_net to $dmz_net tag LAN_DMZ keep state pass in on $ext_if proto tcp to $www_server port 80 tag INET_DMZ keep state pass in on $ext_if proto tcp to $mail_server port { smtp, pop3 } \ tag INET_DMZ keep state # imposición de la política -- pasar/bloquear basándose en la política # definida del cortafuegos pass in quick on $ext_if tagged SPAMD keep state pass out quick on $ext_if tagged LAN_INET keep state pass out quick on $dmz_if tagged LAN_DMZ keep state pass out quick on $dmz_if tagged INET_DMZ keep state

Marcado de Marcos de Ethernet

Si la máquina que está realizando el marcado/filtrado también hace la vez de puente de red (bridge(4)), el marcado también se puede aplicar a nivel de la Ethernet. Creando reglas de filtrado para bridge(4) que usen la clave tag, se puede hacer que PF filtre basándose en la dirección MAC de origen/destino. Las reglas para bridge(4) se crean usando la orden brconfig(8). Ejemplo:

# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \ tag USER1

Y a continuación, en el fichero pf.conf:

pass in on fxp0 tagged USER1

[Anterior: Pools de Direcciones y Balanceo de Carga] [Contenido] [Siguiente: Logging: Registros de Bitácora]

www@openbsd.org
Originally [OpenBSD: tagging.html,v 1.2 ]
$Translation: tagging.html,v 1.2 2004/01/04 21:32:07 horacio Exp $
$OpenBSD: tagging.html,v 1.2 2004/01/04 22:29:12 horacio Exp $