Capitolul 11 - Service Ports și Address Lists

Obiective

După parcurgerea acestui capitol, vei fi capabil să:

• Creezi și gestionezi address lists - manuale, dinamice și bazate pe domenii DNS - pentru a simplifica, scala și audita firewall-ul.
• Populezi automat address lists din reguli de filter, NAT, mangle și din scripturi DHCP lease, adaptând listele la evenimentele din rețea în timp real.
• Controlezi NAT helpers (service ports) - înțelegi ce protocoale le necesită, ce riscuri introduc și cum le dezactivezi selectiv.
• Folosești timeout-uri inteligente pe address lists pentru blocare temporară, geo-restricții dinamice și detectare automată a abuzurilor.
• Construiești un firewall modular pentru un ISP mic - cu liste separate pe rol, reguli minime și posibilitate de audit rapid.

De Ce Contează

Pe un router cu 5 VLAN-uri, 3 servere publicate și 10 politici de acces, firewall-ul poate ajunge la 50–100 de reguli. Dacă fiecare regulă conține IP-uri hardcodate, orice schimbare - un client nou, un server migrat, un IP blocat - înseamnă editarea mai multor reguli în mai multe lanțuri. Riscul de eroare crește proporțional cu numărul de reguli, iar auditul devine un coșmar.

Address lists rezolvă această problemă radical: grupezi IP-uri sub un nume logic, apoi referențiezi numele în reguli. Când se schimbă un IP, editezi lista - regulile rămân intacte. Mai mult, listele pot fi populate automat: de reguli firewall (brute-force detection), de reguli NAT, de mangle sau chiar de scripturi DHCP. Rezultatul este un firewall modular, ușor de înțeles, ușor de modificat și ușor de auditat.

Iar service ports (NAT helpers) sunt un subiect adesea ignorat. Fiecare helper activ inspectează trafic la nivel de aplicație, deschide porturi automat și extinde suprafața de atac. Într-un mediu de producție, controlul asupra lor este obligatoriu.

11.1 Address Lists - Concept și Arhitectură