ในส่วนนี้จะกล่าวถึงแต่ละ option ในหน้าเว็บ Firewall - Rules
Action
ที่ซึ่งคุณสามารถกำหนดให้ Rule นี้ผ่าน (pass), ไม่ให้ผ่าน (Block) หรือ ปฏิเสธ (Reject) ซึ่งผมได้กล่าวไปแล้วในหัวข้อที่ผ่านมา
Disable
ถ้าต้องการปิดการใช้งาน (disable) โดยที่ไม่ต้องลบ Rule นี้ออกจากระบบ ให้ทำเครื่องหมายถูกที่กล่องนี้ มันยังคงแสดงอยู่ใน Firewall Rule แต่เป็นสีเทา ซึ่งหมายถึงอยู่ในสถานะปิดการใช้งาน
Interface
เป็น interface ที่ Firewall Rule นี้ถูกนำไปใช้งาน (Apply) จำไว้ว่า traffic ที่จะถูก filter จะต้องมาจากที่เดียวกันกับที่ที่ interface นั้นอยู่ เช่น การ filter traffic ที่ LAN interface, traffic นั้นต้องมาจากที่ที่ LAN interface นี้ต่ออยู่ traffic ที่มาจาก LAN ปลายทางที่อินเตอร์เน็ตหรือที่ื่อื่น ต้อง filter ที่ LAN interface
Protocol
เป้นที่ที่คุณระบุโปรโตคอลซึ่งตรงกับ Rule นี้ option ส่วนใหญ่ก็มีความหมายในตัวมันเอง เช่น TCP/UDP ก้จะตรงกับ traffice ทั้ง TCP และ UDP ถ้าคุณระบุโปรโตคอลเป็น ICMP ก็จะมี drop down list อื่นเพิ่มขึ้นมาให้คุณเลือกประเภทของ ICMP โปรโตคอลอื่นๆที่ใช้งานกันทั่วไปก็มีให้เลือกมากมาย
Source
ตรงนี้เป็นที่ที่คุณจะระบุ Source IP, Subnet หรือ Alias ให้ match กับ Firewall Rule คุณสามารถเช็คบ็อกที่ not เพื่อให้เป็นตรงกันข้าม (negate)
ในส่วนของ Type คุณสามารถระบุเป้น any ซึ่งหมายถึง IP Address ใดก้ได้ Single host or alias จะ match กับ IP หรือ host เดี่ยวๆ หรือ alias Network ซึ่งจะ match ทั้งที่เป็นช่วงของไอพีและ subnet mask อย่างสุดท้ายคือ WAN address, LAN address, LAN subnet, PPTP client and PPoE user
สำหรับ Rule ที่ใช้ TCP และหรือ UDP คุณสามารถระบุ Source port ได้ที่นี่ โดยการคลิกที่ปุ่ม Advance, Source port ซ่อนอยู่ในปุ่ม Advance โดยปกติแล้วเราจะเซ็ตค่านี้เป็น any เพราะว่า TCP และ UDP จะสุ่มพอร์ตจากหมายเลขพอร์ตตั้งแต่ 1024 - 65535 ช่วงพอร์ตจริงอาจจะมีการเปลี่ยนแปลง ขึ้นอยู่กับ OS ของเครื่อง client, Source port ส่วนใหญ่แล้วจะไม่เหมือนกับ Destination port
Source OS
คุณสมบัติหนึ่งของ pfSense คือ ความสามารถในการ Filter ระบบปฏิบัติการ (Operating System) ทำให้คุณสามารถกำหนด Rule เพื่อ Filter ระบบฏิบัติการโดยการเปรียบเทียบ TCP SYN packet ในช่วงเริ่มต้นของการเชื่อมต่อเน็ตเวิร์คจาก fingerprint ของไฟล์
Destination
เป้นที่ที่คุณระบุไอพีปลายทาง (Destination IP), subnet, alias ที่จะ match กับ Rule ที่จะสร้างขึ้น โปรดดูรายละเอียดเพิ่มเติมของ Source
สำหรับ Rule ที่เป้น TCP และ UDP คุณสามารถระบุพอร์ต ช่วงของพอร์ต (port range) หรือ alias ก็สามารถระบุได้ที่นี่
Log
ถ้า packet ที่ตรงกับ Rule น้ก็ให้เก็บ log ไว้ใน firewall log
Advance Options
ในส่วนนี้เป้นการ config ความสามารถพิเศษของ rule เพื่อจำักัดจำนวน state ต่อ Rule โดยปกติจะไม่มีการระบุค่าไว้ ดังนั้นจึงไม่มีการจำกัดจำนวน state
Limultaneous client connection limit
เป้นการจำหนดจำนวน state ที่จะเกิดขึ้นกับ Rule นี้ ถ้าเซ็ตไว้ที่ 10 และมี 10 connection สำหรับ Rule นี้แล้ว connection ที่ 11 ก็จะถูก drop การเชื่อมต่อ 10 connection อาจจะต่างโฮสต์กัน หรือโฮสต์เดียวก็ได้แต่รวมแล้วต้องไม่เกิน 10 connection
Maximum state entry per host
ถ้าคุณต้องการจำกัดจำนวน state ต่อโฮสต์ นี่คือส่วนที่คุณต้องการ คุณสามารถเซ็ตเป็น 10 connection ต่อ source โฮสต์แทนที่จะเป็นทั้งหมด
Maximum new connection / second
วิธีการนี้เป้นการจำกัดอัตราการเพิ่มของจำนวน connection เพื่อไม่ให้เซิร์ฟเวอร์ทำงานหนักเกินไป ตัวอย่างเช่น การจำกัดจำนวน incoming connection มายังเมล์เซิร์ฟเวอร์เพื่อลดจำนวน connection ของ spambot สามารถใช้กับ outbound traffic rule เพือจำกัดการเพิ่มจำนวน state อย่างรวดเร็ว ของไวรัสคอมพิวเตอร์ คุณสามารถเซ็ทได้ทั้งจำนวน connection และจำนวนช่วงเวลาเป็นวินาที คอมพิวเตอร์เครื่องใดก็แล้วที่มีจำนวนการเชื่อมต่อที่มากเกินตามเวลาที่ตั้ง ไว้ เบื้องหลังของการทำอย่างนี้ก็เพื่อใช้จัดการกับไวรัส
State Timeout in seconds
คุณสามารถกำหนด state timeout สำหรับ traffic ที่ตรงกับ rule นี้เพื่อแทนที่ค่า state timeout ของระบบ connection ใดๆก็แล้วแต่ที่ไม่มีการใช้งาน (idle) ตามช่วงเวลาที่กำหนดก็จะถูกปิด
State Type
มีอยู่สามตัวเลือกที่ pfSense สามารถเลือกได้ตามแต่ละ Rule
Keep State
นี่เป็นค่า default และคุณควรจะเลือกค่านี้
Synproxy state
ตัวเลือกนี้ทำให้ pfSense ทำ proxy TCP connection ที่เชื่อมต่อเข้ามา TCP Connection เริ่มต้นการเชื่อมต่อโดย Three way handshake, packet แรก คือ SYN from source หลังจากนั้นก็เป็นการตอบกลับจากปลายทาง (ACK response) ซึ่งเป็นการป้องกันการถูกโจมตีแบบ Denial of Service และ SYN floods โดยทั่วไป Rule นี้ก็จะถูกใช้ที่ WAN
none
ตัวเลือกนี้จะไม่รักษา State ของการเชื่อมต่อ ไม่แนะนำให้ใช้
No XML-RPC Sync
การเช็กตัวเลือกนี้ทำให้ rule นี้ทำการ Synchronizing ไปยังสมาชิก CARP ตั่วอื่นๆ CARP จะกล่าวถึงในหัวข้อต่อๆไป
Schedule
คุณสามารถกำหนดตารางการทำงาน (shedule) ของ Rule นี้ได้จากที่นี่ ถ้าเลือกเป้น none หมายถึง Rule นี้มีการใช้งานตลอดเวลา
Gateway
คุณสามารถเลือกเป้น WAN interface หรือ Load balance pool ที่ตรงกับ rule นี้ได้
Description
ใส่รายละเอียดของ Rule นี้ได้ที่นี่เพื่อใช้ในการอ้างอิง ส่วนนี้ไม่มีผลอะไรกับ Rule คุณควรกรอกข้อมูลลงไปเพื่ออธิบาย Rule นี้ ความยาวสูงสุดคือ 52 ตัวอักษร
0 comments:
Post a Comment