Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

Правила в таблицах имеют приоритет сверху вниз (т. е. верхнее правило приоритетнее нижнего). По умолчанию используется политика РАЗРЕШИТЬ. Если не будут созданы запрещающие правила, все порты и протоколы для пользователей будут разрешены.

Не рекомендуем создавать FORWARD и INPUT правила, которые запрещают весь трафик, поскольку в дальнейшем могут возникнуть проблемы при настройке разрешающих правил.

Чтобы настроить правило файровола для IPsec-подключений, выберите в поле Входящая зона или Исходящая зона настроенное IPsec-подключение.

Для удобства управления правилами в интерфейсе они разбиты на четыре таблицы: FORWARD, DNAT, INPUT и SNAT.

FORWARD

Правила в данной таблице действуют на трафик, проходящий между зонами сервера, т. е. сетью интернет и локальной сетью, а также между локальными сетями. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

DNAT (перенаправление портов)

Правила этой таблицы используются для прямого перенаправления портов с внешней зоны на определенные ресурсы во внутренней зоне. Такие правила часто называются правилами проброса портов (port forwarding, portmapper).

INPUT

Таблица для правил входящего трафика на зоны сервера. Как правило, это трафик для служб сервера (например, почтового сервера).

SNAT

Таблица пользовательских правил для управления трансляцией сетевых адресов. Для включения автоматического SNAT локальных сетей, переведите соответствующую опцию в положение включен. Пользовательские правила SNAT приоритетнее автоматического SNAT локальных сетей.

Создание правил

Для создания правила в нужной таблице нажмите кнопку Добавить в левом верхнем углу экрана.

Если в строке Протокол выбрать из списка параметр Любой, то правило будет действовать на весь трафик.

При создании правил для фильтрации веб-трафика из локальных сетей (80, 443 TCP порты) для полноценной работы правила в поле Входящая зона должен указываться объект Любой. Если будет указан иной объект, то правило не будет обрабатывать веб-трафик.

Описание параметров и действий при создании правил
  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Источник;

  • Источник - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты) или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Входящая зона - зона, в которую будет входить трафик.

Назначение

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Назначение;

  • Назначение - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты) или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Исходящая зона - зона, через которую будет выходить трафик;

  • Порт назначения - указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах;

  • Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них.

Действия

  • Запретить - запрещает трафик;

  • Разрешить - разрешает трафик;

  • DNAT - транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. Ниже в поле Изменить IP-адрес назначения можно указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

  • Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила.

  • SNAT - транслирует адреса источника;

  • Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

  • Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Примеры

Портмаппинг, DNAT, публикация сервера в локальной сети

Примеры данных настроек подробно описаны в статьях раздела Публикация ресурсов.

Блокировка различных ресурсов средствами файрвола

Вопросы блокировки различных ресурсов: программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО описаны в разделе Блокировка популярных ресурсов.

Массовая блокировка IP-адресов и сетей

1. Нужно сформировать список для блокировки в текстовом файле:

  • Наименование файла обязательно должно быть manual_blocklist.txt;

  • В одной строке следует указывать только один IP-адрес или одну сеть;

  • Формат написания IP-адреса: 1.2.3.4;

  • Формат написания сети: 1.2.3.0/24.

2. Переместить файл manual\_blocklist.txt в каталог /var/opt/ideco/firewall-backend/

3. В терминале Ideco NGFW выполнить команду ideco-apply-manual-blocklist

После перезагрузки Ideco NGFW IP-адреса и сети из файла будут автоматически блокироваться (дополнительно выполнять команду ideco-apply-manual-blocklist не нужно). При обновлении Ideco NGFW список блокировок сохранится.

Если требуется добавление адресов в список заблокированных, следует добавить адреса в файл /var/opt/ideco/firewall-backend/manual\_blocklist.txt и повторно выполнить команду ideco-apply-manual-blocklist.

Для удаления адресов из списка заблокированных следует удалить необходимые адреса из файла /var/opt/ideco/firewall-backend/manual\_blocklist.txt и выполнить команду ideco-apply-manual-blocklist

Доступ к терминальному серверу для определенного пользователя

1. Во вкладке Forward нажмите Добавить;

2. Заполните следующие поля:

  • Протокол - выберите TCP;

  • Источник - выберите пользователя или группу пользователей;

  • Назначения - укажите адрес терминального сервера;

  • Порты назначения - укажите порт 3389 ;

  • Действие - Разрешить.

3. Нажмите Сохранить.

Last updated