| nameif | ||
Con questo comando viene assegnato un ruolo ad una interfaccia di rete.
nameif interface_name new_name security show nameif | ||
| ambito di utilizzo | In configuration mode. | |
| sintassi | Quando parliamo di ruolo, ovviamente, non si intende solo un nome parlante in sostituzone ad un generico ethernetn, ma anche una serie di filtri e meccanismi di controllo del flusso dei pacchetti riconducibili al ruolo interpretato dall'interfaccia stessa. Pensiamo di poter assegnare un valore numerico da 0 a 100 ad ogni interfaccia. Identifichiamo con 100 l'interfaccia più sicura e con 0 quella meno sicura. Potremo istruire il sistema per generare automaticamente delle regole di firewalling che permettano a pacchetti sorgenti da interfacce più sicure di poter andare liberamente verso interfacce strettamente meno sicure. Per questo motivo, all'atto dell'esecuzione del comando, viene creata una catena secondariaiptables referenziata all'interno della catena principale FORWARD e vengono inserite le opportune regole nelle secondarie con un livello di security strettamente minore. | |
| interface_name: | l'etichetta che identifica uno specifico device di rete. | |
| new_name: | si intende una qualsiasi etichetta che possa facilitare la gestione dell'amministratore della rete. Questa etichetta sostituirà la vecchia etichetta. | |
| security: | il valore che identifica la sicurezza è composto dalla costante security seguito, senza spazi, da un numero compreso tra 0 e 100. Il valore prescelto, potrà non essere strettamente univoco a meno dello 0 e del 100 e comunque interfacce con lo stesso valore di security non godranno di alcuna aggevolazione. | |
| esempi |
configuriamo la prima interfaccia che chiamiamo xlan e le assegno il valore 70, è la prima istruzione nameif e quindi non vengono inserite regole extra se non il jump alla catena secondaria.
liscoUno0(config)# nameif ethernet0 xlan security70 ../plugin/nameif.set ethernet0 xlan 70 ***** FASE 1 ****** ***** FASE 2 ****** ::1000 nl[3] iptables -I FORWARD 3 -i xlan -j security-70-xlan ***** FASE 3 ****** prima interfaccia: nessuna implicita bridge name bridge id STP enabled interfaces ethernet2 8000.000a5e062400 no eth2 ethernet1 8000.004063d8678e no eth1 xlan 8000.004063d867f2 no eth0nello snip sottostante viene assegnata l'interfaccia inside, rispetto all'esempio precedente, si evidenzia meglio il calcolo della posizione per l'inserimento della regola di jump alla posizione 6 e l'inserimento delle regole implicite nelle altre catene secondarie. liscoUno0(config)#nameif ethernet1 inside security100 ../plugin/nameif.set ethernet1 inside 100 acantho xlan ***** FASE 1 ****** ***** FASE 2 ****** 4 security-0-acantho all -- anywhere anywhere 5 security-70-xlan all -- anywhere anywhere 0 70::70 nl[6] iptables -I FORWARD 6 -i inside -j security-100-inside ***** FASE 3 ****** elenco interfacce precedenti [acantho xlan] priorita precedenti [] [100] [inside] parametri attuali i[acantho] i_chain[security-0-acantho] i_n[ 2] aggiungo inside --> acantho iptables -I FORWARD 3 -i inside -o acantho -j ACCEPT i[xlan] i_chain[security-70-xlan] i_n[ 2] aggiungo inside --> xlan iptables -I FORWARD 3 -i inside -o xlan -j ACCEPT bridge name bridge id STP enabled interfaces acantho 8000.000a5e062400 no eth2 inside 8000.004063d8678e no eth1 xlan 8000.004063d867f2 no eth0per vedere come abbiamo rimappato le interfacce: liscoUno0(config)# sh nameif /tmp/mcs.dump.1992672 : :nameif 0:nameif ethernet0 xlan security70 1:nameif ethernet1 inside security100 2:nameif ethernet2 acantho security0 | |