Ideco NGFW
Скачать PDF
v16
v16
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Cистемные требования и источники обновления данных Ideco NGFW
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • Личный кабинет my.ideco
    • Настройка программно-аппаратных комплексов Ideco NGFW
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Личный кабинет пользователя
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение по IPsec между двумя Ideco NGFW
        • Подключение Ideco NGFW и Mikrotik
        • Подключение Cisco IOS к Ideco NGFW по IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Установка
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
          • Сертификаты
        • Отчеты и журналы
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco NGFW
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco NGFW 16.X
    • ФСТЭК Ideco UTM 16.X
    • Ideco Center 16.X
Powered by GitBook
On this page
  • FORWARD
  • DNAT (перенаправление портов)
  • INPUT
  • SNAT
  • Создание правил
  • Примеры

Was this helpful?

  1. Настройка
  2. Правила трафика
  3. Файрвол

Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

Правила в таблицах имеют приоритет сверху вниз (т. е. верхнее правило приоритетнее нижнего). По умолчанию используется политика РАЗРЕШИТЬ. Если не будут созданы запрещающие правила, все порты и протоколы для пользователей будут разрешены.

Не рекомендуем создавать FORWARD и INPUT правила, которые запрещают весь трафик, поскольку в дальнейшем могут возникнуть проблемы при настройке разрешающих правил.

Если такие правила все же создаются, необходимо:

  • Создать правило, разрешающее трафик от пользователя;

  • Создать правило, разрешающее трафик для специальной зоны источника Исходящий трафик устройства.

В противном случае клиентский HTTP/HTTPS-трафик будет блокироваться.

Для удобства управления правилами в интерфейсе они разбиты на четыре таблицы: FORWARD, DNAT, INPUT и SNAT.

FORWARD

Правила в данной таблице действуют на трафик, проходящий между зонами сервера, т. е. сетью интернет и локальной сетью, а также между локальными сетями. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

DNAT (перенаправление портов)

Правила этой таблицы используются для прямого перенаправления портов с внешней зоны на определенные ресурсы во внутренней зоне. Такие правила часто называются правилами проброса портов (port forwarding, portmapper).

INPUT

Таблица для правил входящего трафика на зоны сервера. Как правило, это трафик для служб сервера (например, почтового сервера).

SNAT

Таблица пользовательских правил для управления трансляцией сетевых адресов.

Чтобы активировать автоматический SNAT для локальных сетей, переведите соответствующую опцию в положение Включен. Автоматический SNAT подменяет адреса источников только для следующих диапазонов: 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8.

Чтобы подменять адреса источников для других диапазонов или допустить устройства в сеть без сетевой трансляции адресов (правилом "не SNAT"), создайте правило SNAT, нажав на кнопку Добавить. Пользовательские правила SNAT имеют приоритет над автоматическим SNAT для локальных сетей.

Создание правил

Для создания правила в нужной таблице нажмите кнопку Добавить в левом верхнем углу экрана.

Если в строке Протокол выбрать из списка параметр Любой, то правило будет действовать на весь трафик.

При создании правил для фильтрации веб-трафика из локальных сетей (80, 443 TCP-порты) для полноценной работы правила в поле Зона источника должен указываться объект Любой. Если будет указан иной объект, то правило не будет обрабатывать веб-трафик.

Описание параметров и действий при создании правил

  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Источник;

    • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

    • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

    • Внешние VPN-интерфейсы - все туннельные интерфейсы для подключения к интернету (Ethernet+PPPoE, Ethernet+PPTP, Ethernet+L2TP);

    • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

    • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

    • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

    • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

    • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

Назначение

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Назначение;

  • Зона назначения - интерфейс или группа интерфейсов, в которую входит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы;

  • Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них.

Действия

  • Запретить - запрещает трафик;

  • Разрешить - разрешает трафик;

  • DNAT - транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. Ниже в поле Изменить IP-адрес назначения можно указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

  • Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила;

  • SNAT - транслирует адреса источника;

  • Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Примеры

Настройка правил файрвола для IPsec-подключений

Чтобы настроить правило файровола для IPsec-подключений, выберите в поле Зона источника или Зона назначения настроенное IPsec-подключение.

Портмаппинг, DNAT, публикация сервера в локальной сети
Блокировка различных ресурсов средствами файрвола
Доступ к терминальному серверу для определенного пользователя

1. Во вкладке Forward нажмите Добавить;

2. Заполните следующие поля:

  • Протокол - выберите TCP;

  • Источник - выберите пользователя или группу пользователей;

  • Назначения - укажите адрес терминального сервера;

  • Порты назначения - укажите порт 3389 ;

  • Действие - Разрешить.

3. Нажмите Сохранить.

PreviousФайрволNextЛогирование

Last updated 2 months ago

Was this helpful?

Укажите необходимые параметры и действия правила и нажмите кнопку Сохранить. Правило будет добавлено в конец списка. Если необходимо, измените его приоритет кнопками .

Источник - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел ), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

Зона источника - интерфейс или группа интерфейсов, из которой приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, или Специальные типы:

Назначение - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел ), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

Порт назначения - указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в ;

Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в ;

Примеры данных настроек подробно описаны в статьях раздела .

Вопросы блокировки различных ресурсов: программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО описаны в разделе .

Объекты
созданные пользователем зоны
Объекты
Объектах
Объектах
Публикация ресурсов
Блокировка популярных ресурсов