Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
Правила в таблицах имеют приоритет сверху вниз (т. е. верхнее правило приоритетнее нижнего). По умолчанию используется политика РАЗРЕШИТЬ. Если не будут созданы запрещающие правила, все порты и протоколы для пользователей будут разрешены.
Не рекомендуем создавать FORWARD и INPUT правила, которые запрещают весь трафик, поскольку в дальнейшем могут возникнуть проблемы при настройке разрешающих правил.
Если такие правила все же создаются, необходимо:
Создать правило, разрешающее трафик от пользователя;
Создать правило, разрешающее трафик для специальной зоны источника Исходящий трафик устройства.
В противном случае клиентский HTTP/HTTPS-трафик будет блокироваться.
Для удобства управления правилами в интерфейсе они разбиты на четыре таблицы: FORWARD, DNAT, INPUT и SNAT.
FORWARD
Правила в данной таблице действуют на трафик, проходящий между зонами сервера, т. е. сетью интернет и локальной сетью, а также между локальными сетями. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.
DNAT (перенаправление портов)
Правила этой таблицы используются для прямого перенаправления портов с внешней зоны на определенные ресурсы во внутренней зоне. Такие правила часто называются правилами проброса портов (port forwarding, port-mapping).
INPUT
Таблица для правил входящего трафика на зоны сервера. Как правило, это трафик для служб сервера (например, почтового сервера).
SNAT
Таблица пользовательских правил для управления трансляцией сетевых адресов. Для включения автоматического SNAT локальных сетей, переведите соответствующую опцию в положение включен. Пользовательские правила SNAT приоритетнее автоматического SNAT локальных сетей.
Создание правил
Для создания правила в нужной таблице нажмите кнопку Добавить в левом верхнем углу экрана.
Если в строке Протокол выбрать из списка параметр Любой, то правило будет действовать на весь трафик.
При создании правил для фильтрации веб-трафика из локальных сетей (80, 443 TCP-порты) для полноценной работы правила в поле Зона источника должен указываться объект Любой. Если будет указан иной объект, то правило не будет обрабатывать веб-трафик.
Примеры
Last updated