Para situações onde não é possível utilizar SAM Rule (seja limitação da arquitetura, ou limitação de versão), é possível utilizar o objeto "Dynamic Object" (New > More > Network Object > Dynamic Objects > Dynamic Object)
Este objeto, após criado, deve ser inserido na origem ou destino na rulebase, conforme exemplo abaixo:
Após criada a regra, basta instalar políticas.
À partir de agora, a manutenção do objeto dinâmico é feito via linha de comando, no firewall ativo. É lá que é dada a manutenção do objeto, sem necessidade de fazer instalação de regras novamente. Seguem os parâmetros disponíveis, a seguir, exemplo prático para listar, adicionar e remover endereços.
Atenção: para aplicar o comando no Maestro:
ao invés de usar "dynamic_objects", utilize "g_all dynamic_objects"
O mais importante, é que este objeto dinâmico só pode ser alimentado com range, independente de ser apenas um ip (caso queira bloquear apenas o ip 60.60.60.60, vai informar a range 60.60.60.60 - 60.60.60.60, vide exemplo abaixo:
Listando o comando e seus parâmetros disponíveis. Só tem opção para adicionar via range.
Exemplo acrescentando uma range a ser bloqueada que seja apenas o ip 60.60.60.60:
Para listar os endereços atuais:
Para deletar a range que foi inserida:
Considerações importantes sobre o bloqueio imediato:
Se existirem conexões aceleradas na tabela de conexões do firewall, ela não será derrubada imediatamente. Para que o efeito seja imediato, precisa forçar a exclusão da tabela, com o comando abaixo:
Quando o ip é destino, o parametro é dip. Quanto o ip é origem, o parametro é sip:
Observações sobre o comando fw ctl conntab:
- Ao dar enter no comando acima, perceba que precisa confirmar com um 'y' ou 'n' para executar ou cancelar.
- tanto a origem quanto destino também pode ser informado uma range, ao invés de um simples ip. Exemplo para remover da tabela de conexões a range 60.60.60.10 a 60.60.60.20 quando for destino:
- fw ctl conntab -x -dip-60.60.60.10-60.60.60.20
Resumo:
- Crie uma regra no topo com um objeto dinâmico (uma regra quando quiser bloquear origens dinamicamente e outra regra quando quiser bloquear destinos dinamicamente).;
- O uso do objeto não impacta na aceleração nem performance;
- Podem ser criados mais de um objeto dinâmico também. Após a criação da regra de firewall, é preciso install policy;
- A edição do objeto é feita diretamente no firewall, e como a regra já existe, não precisa mais aplicar!
- Para remoção de qualquer resquício de conexão da tabela, utilize em conjunto o comando fw ctl conntab -x -sip/-dip
Referências:
- Manual R81.10 - https://sc1.checkpoint.com/documents/R81.10/WebAdminGuides/EN/CP_R81.10_CLI_ReferenceGuide/Topics-CLIG/FWG/dynamic_objects.htm
- Não afeta na performance nem aceleração dos pacotes desde a R80.10- https://support.checkpoint.com/results/sk/sk116367