from electron 2 web

インターネットのリソースを無駄遣いして検索におけるUXを下げてごめんなさい

圧倒的文章力のNASAでゴミみたいなチラ裏のようなメモを量産してしまい全ての"Web開発者"にごめんなさい

デバイスベースのポリシーを使ってみる

もうipベースの制御は遅いんだよな

バイスベースのポリシー概要

ipbase policyだと1+つのsrcif,srcaddrから1+つのdstif,dstaddrのdstaddrだったが、 一つのポリシーに複数のデバイスとその行先を定義できるよみたいな

図は以下(自分で書いてて意味わからん)

f:id:lv7777:20171024224729p:plain

大まか流れとしては以下

  1. ユーザー&デバイス→デバイス定義→対象のデバイスエイリアスをつける。

この作業を行わないとポリシーを選ぶときデバイスが表示されない!!

ってかnexus5がゲーミングデバイスに分類されているんですが・・・

f:id:lv7777:20171024222413p:plain

たぶんだけどif設定でデバイスの自動認識をつけとくと自動で認識してくれるはずなので つけておくと吉(自分は最初からつけていたので消したら手動でデバイス追加しなきゃいけないのか検証するのがめんどい

f:id:lv7777:20171024223001p:plain

  1. ポリシーの追加

バイスアイデンティティーってとこで可能になるはず。 incoming if、addr、outgoing ifはいつもの通り(addrをAにしてデバイスに振ってきたipをBにしたらどうなるんだ・・・(たぶんポリシーに適用されないだけなんだろうな)

f:id:lv7777:20171024224909p:plain

先ほどもいったが一つのポリシーでデバイス(もしくはデバイスグループ)とあて先(宛先グループ)を複数書く形式。 ただしifは一つ。なんだこれ慣れない

あとは普通にokする。これ以外のpolicyをdenyにしてちゃんとポリシーが効いているか試してみるといい。(当然fortiまでもいかなくなるのでコンソールケーブルが差せる場所でやろう。)

これができると何が便利か

例えばwifi+sslインスペクションという構成。

そもそもandroidにcer証明書入れれないのマジでイミフなんだけど(キレ)

lv7777.hatenablog.com