Примеры создания правил файрвола

Статья содержит примеры настройки правил в Файрволе Ideco NGFW.

Настройка правил файрвола для IPsec-подключений

Чтобы настроить правило Файрвола для IPsec-подключений, выберите в поле Зона источника или Зона назначения настроенное IPsec-подключение.

Портмаппинг, DNAT, публикация сервера в локальной сети

Примеры данных настроек подробно описаны в статьях раздела Публикация ресурсов.

Блокировка различных ресурсов средствами файрвола

Вопросы блокировки программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО - описаны в статье Блокировка популярных ресурсов.

Доступ к терминальному серверу для определенного пользователя

1. На вкладке Правила трафика -> Файрвол -> FORWARD нажмите Добавить.

2. Заполните поля:

Протокол - выберите TCP;
Адрес - выберите пользователя или группу пользователей;
Назначения - укажите адрес терминального сервера;
Порты назначения - укажите порт 3389;
Действие - Разрешить;
Дополнительно - включите правило.

3. Нажмите Добавить.

Блокировка доступа к веб-интерфейсу (порт 8443) всем, кроме определенного адреса

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

Доступ к веб-интерфейсу будет разрешен только с IP-адреса 192.168.1.120.
192.168.1.1 - IP-адрес Ideco NGFW в локальной сети.

Блокировка 80 порта Ideco NGFW

80 TCP порт используется для выпуска сертификатов Let`s Encrypt.

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

Разрешение DNS-запросов через внешние DNS

ВАЖНО: Рекомендуем использовать в качестве DNS-сервер Ideco NGFW. Но если необходимо использовать внешний DNS-сервер, то выполните действия:

1. На вкладке Защита и управление DNS -> Внешние DNS выключите Перехват пользовательских DNS-запросов.

2. Добавьте внешний DNS-сервер.

3. Перейдите на вкладку Правила трафика -> Файрвол -> FORWARD.

4. Создайте правило Запретить все и включите его.

5. Создайте правило, заполнив поля:

Протокол - выберите UDP;
Назначение:
- Адрес - укажите IP-адрес внешнего DNS-сервера;
- Порт назначения - укажите порт 53;
Действие - Разрешить;
Дополнительно - включите правило.

Для работы протокола DNS может быть недостаточно правила с протоколом UDP, поскольку DNS использует в качестве транспорта UDP и TCP. Для решения задачи создайте аналогичное правило с протоколом TCP, используя кнопку Клонировать в таблице правил.

Доступ до Ideco NGFW только из определенной внешней сети по IKEv2/IPsec

Пример: нужно разрешить доступ до Ideco NGFW из России по VPN через IKEv2/IPsec.

ВАЖНО: Правило актуально, если на вкладке INPUT есть правило Запретить все.

1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

Протокол - выберите UDP;
Источник:
- Адрес - выберите страну Россия;
Назначение:
- Адрес - укажите внешний IP-адрес Ideco NGFW;
- Порт назначения - укажите порты 500 и 4500;
Действие - Разрешить;
Дополнительно - включите правило.

Разрешение доступа к конкретным ресурсам при наличии запрещающего весь трафик правила

Примеры представлены в статье Как разрешить доступ к ресурсам в ограниченной сети.

DNAT-правило для работы site-to-site IPsec с устройством в локальной сети

1. Перейдите на вкладку Правила трафика -> Файрвол -> DNAT.

2. Создайте правило, заполнив поля, как на скриншоте, и включите его:

5.120.1.25 - IP-адрес Ideco NGFW во внешней сети.
192.168.1.50 - IP-адрес устройства в локальной сети.

Для полноценной работы IPsec создайте такое же правило с протоколом AH, нажав Клонировать. Помимо этого, нужно создать DNAT-правило с протоколом UDP и портами 500, 4500.

PreviousТаблицы файрвола (FORWARD, DNAT, INPUT и SNAT)NextЛогирование

Last updated 16 days ago

Was this helpful?