Tornevall Networks

← Back to docs

Live-styrning av barn i brandväggen

Language: SV | EN | SV

Live-styrning av barn i brandväggen

Översikt

Tools har nu ett separat live-lager för brandväggsstyrning av barn/enheter.

Funktionen är avsiktligt separerad från den äldre generiska editorn för brandväggstabeller.

Använd den när du behöver:

  • skapa barn/personprofiler
  • koppla en eller flera IP-adresser till ett barn
  • koppla stabila schedule keys till barn och barns IP-rader
  • underhålla host-/domänblocklistor
  • uppdatera upplösta destinationsadresser
  • lägga till selektiva live-regler
  • köra full off / full on direkt när det behövs
  • lagra återkommande full off / full on-scheman i databasen

Admin-GUI

Live-editorn nås via:

  • /firewall
  • sedan Live child control

Direktlänk:

  • /firewall/live

Det rekommenderade flödet för selektiv blockering är nu barncentrerat:

  • öppna ett barn
  • välj vilka host block lists som ska spärras för barnet i en multi-select/listbox
  • välj om spärren ska gälla alla barnets IP-adresser eller bara utvalda barn-IP:n
  • spara det valet i stället för att manuellt toggla många enskilda regelrader

Datamodell

Live-lagret lagrar state i den dedikerade firewall-databasanslutningen och använder dessa tabeller:

  • child
  • child_ip_addresses
  • host_block_lists
  • host_block_list_addresses
  • live_child_rules
  • live_child_rule_ip_targets

Viktigt beteende

  • Databasen lagrar regelunderlag/state, inte färdiga iptables-regler.
  • fwmaker är fortfarande komponenten som genererar själva brandväggsoutputen.
  • Hostnamn i host block lists uppdateras nu till konkreta blockmål med en best-effort-uppslagning mot nätregister, så Tools kan lagra CIDR-liknande nätintervall i stället för bara en enda upplöst host-IP när RDAP-data visar den nätgränsen.
  • Starka barnregler som full_block ersätter svagare/selektiva regler när de riktas mot alla barnets IP:n, medan starka regler mot utvalda IP:n nu bara tar över just dessa valda barnadresser.
  • Upplåsning tar bort barnets live-regler så nästa brandväggssynk kan bygga ett rent regelverk igen.

Targeting-lägen

Både snabb blockering och selektiva block_host_list-regler kan nu riktas mot antingen:

  • all_child_ips
  • selected_child_ips

När selected_child_ips används skickas också child_ip_address_ids[] med för de barn-IP-poster som faktiskt ska påverkas.

Schedule keys och återkommande scheman

Live-lagret för brandväggen stöder nu också databasbackade återkommande scheman för full off / full on.

  • barn kan ha en stabil schedule_key som max eller emily
  • barns IP-rader kan ha stabila schedule_key-värden som max-main, max-laptop eller emily-mobile
  • återkommande schemarader använder sedan dessa nycklar i stället för hårdkodade numeriska id:n
  • schemaskrivningarna kan stängas av globalt utan att de sparade raderna behöver tas bort

Det gör att webbgränssnittet kan lagra ett cron-liknande schema i databasen samtidigt som operatören kan pausa schemaskrivningar tillfälligt.

API-endpoints

Barn

  • GET /api/firewall/children
  • POST /api/firewall/children
  • PUT /api/firewall/children/{child}
  • GET /api/firewall/children/{child}/ip-addresses
  • PUT /api/firewall/children/{child}/host-block-lists
  • POST /api/firewall/children/{child}/ip-addresses
  • PUT /api/firewall/children/{child}/ip-addresses/{ipAddress}
  • DELETE /api/firewall/children/{child}/ip-addresses/{ipAddress}
  • POST /api/firewall/children/{child}/ip-addresses/{ipAddress}/enable
  • POST /api/firewall/children/{child}/ip-addresses/{ipAddress}/disable
  • POST /api/firewall/children/{child}/block
  • POST /api/firewall/children/{child}/unblock

Payloads för barn och barns IP-rader kan nu också innehålla additiva schedule_key-fält så databasbackade återkommande scheman kan slå upp rätt logiska barn-/enhetsmål.

Host block lists

  • GET /api/firewall/host-block-lists
  • POST /api/firewall/host-block-lists
  • PUT /api/firewall/host-block-lists/{list}
  • POST /api/firewall/host-block-lists/{list}/hosts
  • POST /api/firewall/host-block-lists/{list}/refresh
  • GET /api/firewall/host-block-lists/{list}/addresses

Live-regler för barn

  • GET /api/firewall/live-child-rules
  • POST /api/firewall/live-child-rules
  • PUT /api/firewall/live-child-rules/{rule}
  • POST /api/firewall/live-child-rules/{rule}/enable
  • POST /api/firewall/live-child-rules/{rule}/disable
  • POST /api/firewall/live-child-rules/sync

Payloads för live-regler kan nu också bära additiva targeting-fält:

  • target_scope
  • child_ip_address_ids[]
  • svarsfältet target_child_ip_address_ids[]
  • svarsfältet target_ip_addresses[]
  • svarsfältet target_scope_summary

Payload för barncentrerad selektiv blockering

PUT /api/firewall/children/{child}/host-block-lists

{
  "host_block_list_ids": [1, 3, 8],
  "action": "drop",
  "target_scope": "selected_child_ips",
  "child_ip_address_ids": [12, 13]
}

GET /api/firewall/children kan nu också innehålla additiv metadata för det barncentrerade selektionsläget, så klienter kan rendera aktuell listbox direkt:

  • selected_host_block_list_ids[]
  • selected_host_block_list_target_scope
  • selected_host_block_list_child_ip_address_ids[]
  • has_mixed_selective_targets

Snabbblockerings-anrop (POST /api/firewall/children/{child}/block) kan nu använda samma target_scope + child_ip_address_ids[]-mönster när operatören vill blockera all trafik för bara vissa av barnets aktuella IP-adresser.

Nuvarande auth-modell

Den första implementationen är avsedd för autentiserade Tools-operatörer med behörigheten firewall.

Om mobil/API-auth ändras senare måste Androids AGENTS-fil och denna dokumentation uppdateras i samma ändring.