OPNsense用户手册-别名

别名是命名的网络、主机或端口列表，可以通过在防火墙的各个受支持部分中选择别名来用作一个实体。这些别名对于压缩防火墙规则和最小化的修改特别有用。

别名类型

OPNsense提供以下别名类型：

类型	描述
主机	按IP或完全合格的域名限定单个主机
网络	整个网络如：192.168.1.1/24
端口	端口号或端口范围如20:30
网址表	可以获取的IP地址表
GeoIP	选择国家或整个地区

主机

主机可以作为单个IP地址或完全合格的域名输入。使用完全合格的域名时，我们会定期解析名称（默认值为300秒）。

例如
我们为www.youtube.com创建一个别名表

应用更改,然后查看我们新创建的pf表的内容。转到 Firewall->Diagnostics->pfTables(防火墙 - >诊断 - > pfTables)并选择我们新创建的youtube表。

可以看见，这个域名有多个IP地址。

网络

网络以无类别域间路由格式（CIDR）指定。为每个条目使用正确的CIDR掩码。例如，a / 32指定单个IPv4主机，或/ 128指定单个IPv6主机，而/ 24指定255.255.255.0，/ 64指定普通IPv6网络。

端口

可以使用冒号将端口指定为单个数字或范围。例如，要添加20到25的范围，可以在端口部分输入20:25 。

网址表

URL表可用于从远程服务器获取IP地址列表。有几个免费的IP列表，最值得一提的是Spamhaus的“Do not Route or Peer”列表。

GeoIP

使用GeoIP别名，您可以选择一个或多个国家/地区，或者整个大陆来进行阻止或允许。使用toggle all((全部切换))复选框选择指定区域内的所有国家/地区。

此功能已使用17.7.7进行了重新设计，并取代了通过IPS进行的GeoIP阻止。

导入功能

要快速添加别名列表，OPNsense还提供导入功能，您可以在其中粘贴或输入文本格式的列表。

常见示例是IP、网络、黑名单等的列表。该列表可以包含IP地址，具有或不具有CIDR前缀，IP范围、空行（被忽略）以及每个IP之后的可选描述。例如：

172.16.1.2172.16.0.0/2410.11.12.100-10.11.12.200192.168.1.254 Home router10.20.0.0/16 Office network10.40.1.10-10.40.1.19 Managed switches

在pf防火墙规则中使用别名

可以在防火墙规则中使用别名来轻松管理大型列表。例如，我们可以拥有一个应该可以访问某些服务的远程IP列表，当有任何更改时我们只需要更新列表。

让我们创建一个简单的别名列表，并假设我们有3个远程IP可以访问ipsec服务器以进行站点到站点隧道连接：

192.168.100.1
192.168.200.2
192.168.300.3

我们将列表命名为remote_ipsec并相应地更新我们的防火墙规则。

注意列表图标以标识带别名（列表）的规则。

高级

对于主机，可以使用列表中的列表。例如：

critical_servers {10.0.1.1,10.0.1.2}
other_servers {10.0.1.100,10.0.1.200}

然后通过定义一个新列表来连接它们：

servers {critical_servers，other_servers}。

最终结果将是一个列表，其中包含一个别名列表（服务器）中的所有IP地址。

转载于:https://blog.51cto.com/fxn2025/2307239