Примеры создания правил файрвола
Настройка правил файрвола для IPsec-подключений
Чтобы настроить правило файрвола для IPsec-подключений, выберите в поле Зона источника или Зона назначения настроенное IPsec-подключение.
Портмаппинг, DNAT, публикация сервера в локальной сети
Примеры данных настроек подробно описаны в статьях раздела Публикация ресурсов.
Блокировка различных ресурсов средствами файрвола
Вопросы блокировки различных ресурсов: программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО - описаны в разделе Блокировка популярных ресурсов.
Массовая блокировка IP-адресов и сетей
1. Нужно сформировать список для блокировки в текстовом файле:
Наименование файла обязательно должно быть manual_blocklist.txt;
В одной строке следует указывать только один IP-адрес или одну сеть;
Формат написания IP-адреса: 1.2.3.4;
Формат написания сети: 1.2.3.0/24.
2. Переместить файл manual\_blocklist.txt
в каталог /var/opt/ideco/firewall-backend/
;
3. В терминале Ideco NGFW выполнить команду ideco-apply-manual-blocklist
.
После перезагрузки Ideco NGFW IP-адреса и сети из файла будут автоматически блокироваться (дополнительно выполнять команду ideco-apply-manual-blocklist
не нужно). При обновлении Ideco NGFW список блокировок сохранится.
Если требуется добавление адресов в список заблокированных, следует добавить адреса в файл /var/opt/ideco/firewall-backend/manual\_blocklist.txt
и повторно выполнить команду ideco-apply-manual-blocklist
.
Для удаления адресов из списка заблокированных следует удалить необходимые адреса из файла /var/opt/ideco/firewall-backend/manual\_blocklist.txt
и выполнить команду ideco-apply-manual-blocklist
.
Доступ к терминальному серверу для определенного пользователя
1. На вкладке FORWARD нажмите Добавить.
2. Заполните следующие поля:
Протокол - выберите TCP;
Адрес - выберите пользователя или группу пользователей;
Назначения - укажите адрес терминального сервера;
Порты назначения - укажите порт 3389;
Действие - Разрешить;
Дополнительно - включите правило.
3. Нажмите Добавить.
Блокировка доступа к веб-интерфейсу (порт 8443) всем, кроме определенного адреса
1. Перейдите в раздел Правил трафика -> Файрвол.
2. Перейдите на вкладку INPUT.
3. Создайте правило, заполнив поля, как на скриншоте, и включите его:
Доступ к веб-интерфейсу будет разрешен только с IP-адреса 192.168.1.120.
192.168.1.1 - IP-адрес Ideco NGFW в локальной сети.
Блокировка 80 порта Ideco NGFW
80 TCP порт используется для выпуска сертификатов Let`s Encrypt.
1. Перейдите в раздел Правил трафика -> Файрвол.
2. Перейдите на вкладку INPUT.
3. Создайте правило, заполнив поля, как на скриншоте, и включите его:
Разрешение DNS-запросов
1. Перейдите в раздел Правил трафика -> Файрвол.
2. Перейдите на вкладку FORWARD.
3. Cоздайте правило, заполнив поля, как на скриншоте, и включите его:
Для работы протокола DNS может быть не достаточно правила с протоколом UDP, поскольку DNS использует в качестве транспорта не только UDP, но и TCP. Для решения задачи создайте аналогичное правило с протоколом TCP, используя кнопку Клонировать в таблице правил.
Доступ до Ideco NGFW только из определенной внешней сетей
1. Перейдите в раздел Правил трафика -> Файрвол.
2. Перейдите на вкладку INPUT.
3. Cоздайте правило, заполнив поля, как на скриншоте, и включите его:
Правило разрешит трафик до Ideco NGFW из внешней сети 51.25.89.0/24.
DNAT-правило для работы site-to-site IPsec с устройством в локальной сети
1. Перейдите в раздел Правил трафика -> Файрвол.
2. Перейдите на вкладку DNAT.
3. Cоздайте правило, заполнив поля, как на скриншоте, и включите его:
5.120.1.25 - IP-адрес Ideco NGFW во внешней сети.
192.168.1.50 - IP-адрес устройства в локальной сети.
Для полноценной работы IPsec создайте такое же правило с протоколом AH, нажав Клонировать. Помимо этого нужно создать DNAT-правило с протоколом UDP и портами 500,4500.
Last updated