Примеры создания правил файрвола

Статья содержит примеры настройки правил в Файрволе Ideco NGFW.

Настройка правил файрвола для IPsec-подключений

Чтобы настроить правило Файрвола для IPsec-подключений, выберите в поле Зона источника или Зона назначения настроенное IPsec-подключение.

Портмаппинг, DNAT, публикация сервера в локальной сети

Примеры данных настроек подробно описаны в статьях раздела Публикация ресурсов.

Блокировка различных ресурсов средствами файрвола

Вопросы блокировки программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО - описаны в статье Блокировка популярных ресурсов.

Доступ к терминальному серверу для определенного пользователя

1. На вкладке Правила трафика -> Файрвол -> FORWARD нажмите Добавить.

2. Заполните поля:

  • Протокол - выберите TCP;

  • Адрес - выберите пользователя или группу пользователей;

  • Назначения - укажите адрес терминального сервера;

  • Порты назначения - укажите порт 3389;

  • Действие - Разрешить;

  • Дополнительно - включите правило.

3. Нажмите Добавить.

Блокировка доступа к веб-интерфейсу (порт 8443) всем, кроме определенного адреса

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

  • Доступ к веб-интерфейсу будет разрешен только с IP-адреса 192.168.1.120.

  • 192.168.1.1 - IP-адрес Ideco NGFW в локальной сети.

Блокировка 80 порта Ideco NGFW

80 TCP порт используется для выпуска сертификатов Let`s Encrypt.

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

Разрешение DNS-запросов через внешние DNS

ВАЖНО: Рекомендуем использовать в качестве DNS-сервер Ideco NGFW. Но если необходимо использовать внешний DNS-сервер, то выполните действия:

1. На вкладке Защита и управление DNS -> Внешние DNS выключите Перехват пользовательских DNS-запросов.

2. Добавьте внешний DNS-сервер.

3. Перейдите на вкладку Правила трафика -> Файрвол -> FORWARD.

4. Создайте правило Запретить все и включите его.

5. Создайте правило, заполнив поля:

  • Протокол - выберите UDP;

  • Назначение:

    • Адрес - укажите IP-адрес внешнего DNS-сервера;

    • Порт назначения - укажите порт 53;

  • Действие - Разрешить;

  • Дополнительно - включите правило.

Для работы протокола DNS может быть недостаточно правила с протоколом UDP, поскольку DNS использует в качестве транспорта UDP и TCP. Для решения задачи создайте аналогичное правило с протоколом TCP, используя кнопку Клонировать в таблице правил.

Доступ до Ideco NGFW только из определенной внешней сети по IKEv2/IPsec

Пример: нужно разрешить доступ до Ideco NGFW из России по VPN через IKEv2/IPsec.

ВАЖНО: Правило актуально, если на вкладке INPUT есть правило Запретить все.

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

  • Протокол - выберите UDP;

  • Источник:

    • Адрес - выберите страну Россия;

  • Назначение:

    • Адрес - укажите внешний IP-адрес Ideco NGFW;

    • Порт назначения - укажите порты 500 и 4500;

  • Действие - Разрешить;

  • Дополнительно - включите правило.

Разрешение доступа к конкретным ресурсам при наличии запрещающего весь трафик правила
DNAT-правило для работы site-to-site IPsec с устройством в локальной сети

1. Перейдите на вкладку Правила трафика -> Файрвол -> DNAT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

  • 5.120.1.25 - IP-адрес Ideco NGFW во внешней сети.

  • 192.168.1.50 - IP-адрес устройства в локальной сети.

Для полноценной работы IPsec создайте такое же правило с протоколом AH, нажав Клонировать. Помимо этого, нужно создать DNAT-правило с протоколом UDP и портами 500, 4500.

Last updated

Was this helpful?