Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

В статье описаны создание и особенности правил FORWARD, DNAT, INPUT и SNAT в Файрволе Ideco NGFW.

Для удобства управления в интерфейсе правила разбиты на четыре таблицы:

FORWARD - правила действуют на трафик, проходящий между зонами сервера, т. е. интернетом и локальной сетью, а также между локальными сетями. Это основная таблица, в которую можно добавить правила, ограничивающие трафик пользователей;
DNAT - правила используются для прямого перенаправления портов с внешней зоны на ресурсы во внутренней зоне. Такие правила часто называются правилами проброса портов (port forwarding, port-mapping);
INPUT - правила входящего на сервер трафика. Как правило, это трафик для служб сервера (например, почтового сервера);
SNAT - правила для управления трансляцией сетевых адресов.

Правила в таблицах имеют приоритет сверху вниз (т. е. верхнее правило приоритетнее нижнего). По умолчанию используется политика РАЗРЕШИТЬ. Если не созданы запрещающие правила, все порты и протоколы для пользователей разрешены.

При наличии большого количества правил в таблицах Файрвола воспользуйтесь кнопкой Фильтры.

Создание правил

Для создания правила в нужной таблице нажмите кнопку Добавить.

Укажите необходимые параметры, действия правила и нажмите кнопку Добавить. Правило будет добавлено в конец списка. Если необходимо, измените его приоритет кнопками .

В качестве Зоны источника или Зоны назначения можно выбрать Специальные типы:

Специальные типы

Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;
Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;
Внешние VPN-интерфейсы - все туннельные интерфейсы для подключения к интернету (Ethernet+PPPoE, Ethernet+PPTP, Ethernet+L2TP);
IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;
Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;
Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;
Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;
Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

В Ideco NGFW нет подразделения локальных интерфейсов на VPN-интерфейсы и Ethernet, поскольку Ideco NGFW не имеет локальных VPN-интерфейсов.

Расшифровка полей

Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой);
Источник:
- Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, или Специальные типы;
- Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
- Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел ), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет). Максимальное количество объектов в поле - 200;
- Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в . Указывать не рекомендуем. Максимальное количество объектов в поле - 200;
- HIP-профили - профиль, соответствующий устройству, от которого исходит трафик.
Назначение:
- Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик. Можно выбрать отдельные Сетевые интерфейсы, или Специальные типы;
- Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
- Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел ), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет). Максимальное количество объектов в поле - 200;
- Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в . Максимальное количество объектов в поле - 200.
Действия:
- Запретить - запрещает трафик;
- Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.
Профили безопасности:
- Контроль приложений - выберите профиль , которым требуется фильтровать трафик;
- Предотвращение вторжений - выберите профиль системы , которым требуется фильтровать трафик.
Дополнительно:
- Включить правило - включите правило. По умолчанию правило выключено;
- Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в ;
- Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Расшифровка полей

Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).
Источник:
- Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
Назначение:
- Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
- Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них;
- Сменить порт назначения - при указании диапазона портов пакет будет перенаправлен в порт с тем же номером, на который он пришел, если этот порт попадает в указанный диапазон.
Действия:
- DNAT - транслирует адреса назначения, перенаправляя входящий трафик. В поле Сменить IP-адрес назначения укажите один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. Укажите порт, на который будет перенаправлен трафик;
- Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила.
Дополнительно:
- Включить правило - включите правило. По умолчанию правило выключено;
- Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Правила автоматического SNAT работают только для интерфейсов, указанных как внешние.

Чтобы активировать автоматический SNAT для локальных сетей, включите опцию Автоматический SNAT локальных сетей. Автоматический SNAT подменяет адреса источников только для диапазонов: 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8.

Чтобы подменять адреса источников из других диапазонов, создайте соответствующее SNAT правило. Чтобы допустить устройства в сеть без сетевой трансляции адресов (правилом "не SNAT"), создайте правило SNAT с настройкой Не производить SNAT.

Пользовательские правила SNAT имеют приоритет над автоматическим SNAT для локальных сетей.

Расшифровка полей

Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой);
Источник:
- Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
- Сменить IP-адрес источника - заполняется, только если на сетевом интерфейсе несколько IP-адресов и необходим SNAT от конкретного IP-адреса. Можно указать IP-адрес или диапазон IP-адресов, например, 192.168.10.2-192.168.10.15.
Назначение:
Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;
Действия:
- SNAT - транслирует адреса источника;
- Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.
Дополнительно:
- Включить правило - включите правило. По умолчанию правило выключено;
- Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Важно

При создании правил:

Если в поле Протокол выбрать из списка параметр Любой, то правило будет действовать на весь трафик.
Для фильтрации веб-трафика из локальных сетей (80, 443 TCP-порты) для корректной работы правила в поле Зона источника должен указываться объект Любой либо зона, в которую входит интерфейс локальной сети. Если будет указан интерфейс локальной сети, то правило не будет обрабатывать веб-трафик. При инспекции веб-трафика интерфейс источника переназначается на интерфейс Ideco NGFW, но зона интерфейса источника сохраняется.
Не используйте зону, указанную в разделе VPN-подключения -> Основное, для блокировки TCP. В противном случае HTTP- и HTTPS-трафик через эту зону не будет заблокирован.

НЕ рекомендуем:

Создавать FORWARD- и INPUT-правила, запрещающие весь трафик, без предварительного создания разрешающих правил. Это может привести к блокировке доступа к серверу и его функциям. Для предотвращения блокировки клиентского HTTP/HTTPS-трафика рекомендуем:
- Создать правило, разрешающее трафик от пользователя;
- Создать правило, разрешающее трафик для специальной зоны источника Исходящий трафик устройства.
При создании правил Файрвола с протоколом TCP или UDP указывать Порт источника. Это связано с тем, что:
- Порт источника выбирается случайно, и лишь некоторые приложения работают с фиксированным портом;
- Порт источника может подмениться другим при прохождении пакета через NAT.

Полезные ссылки

PreviousФайрвол NextПримеры создания правил файрвола

Last updated 1 month ago

Was this helpful?