Firewall

В начало  Назад  Далее

Общие сведения

Группы правил

Группы правил в фаерволе существуют для удобства конфигурирования. Все правила в фаерволе проходятся последовательно сверху вниз, т.е. сначала проходятся все правила первой группы, потом все правила второй и так далее. Таким образом, если в первой группе имеется правило запрещающее всё, то в последующих группах разрешающие(Allow) и запрещающие(Deny) правила не будут обрабатываться.

Написание правил

Запрещая или открывая доступ к определенным сайтам или хостам в сети Интернет в полях Source и  Destination можно указывать только IP-адреса этих сайтов. Маска подсети в этом случае должна быть: 255.255.255.255 (один компьютер).

 Для немедленного применения правил в фаерволе не забывайте нажимать кнопку в веб-интерфейсе в виде зеленой галочки.

 

В Ideco ICS есть 2 вида фаерволов:

Системный firewall - Действует на всю систему в целом.

Пользовательский firewall - Действует только на выбранных пользователей, а конкретнее в пользовательском фаерволе при создании правил вам нужно учитывать, что распространяться они будут только на тех пользователей, в настройках которых они будут указаны. Так же имейте ввиду, что пользователю можно назначить только группу правил из пользовательского фаервола: даже если нужно присвоить всего одно правило, то для него всё равно нужно создавать отдельную группу.

 Назначать группы правил пользователям нужно в настройках пользователя. Перейдите во вкладку "Ограничения" в веб-интерфейсе у выбранного пользователя. Там вы можете указывать пользователям какие группы правил из пользовательского фаервола распространяются на пользователя свое действие. Независимо от этого, там же в разделе "Ограничения", можно установить ограничения на диапазон IP-адресов (в любых локальных или внешних сетях.) и на время подключения пользователя к Ideco ICS (а значит и к сети Интернет).

 Правила пользовательского фаервола приоритетнее чем правила системного. Например, если у вас общесистемно запрещена работа с ICQ (TCP порты 5190 и 4000), но в пользовательском фаерволе есть правило, разрешающее соединения на эти порты, и это правило назначено на использование отдельному пользователю, то у него будет работать ICQ. У остальных не будет.

Примеры правил Firewall

Разрешить доступ для определённой группы пользователей сети к определённым сайтам в Интернете, а все остальные сайты запретить.
 

1.Для начала нужно разделить пользователей на группы, т.е. разбить сеть (например 192.168.0.0/255.255.255.0) на подсети. Cоздаём четыре подсети 192.168.0.0/255.255.255.192, 192.168.0.64/255.255.255.192, 192.168.0.128/255.255.255.192 и 192.168.0.192/255.255.255.192.
2.В веб-интерфейсе администратора, в разделе Безопасность, в оснастке Системный firewall cоздаём группу правил и называем, как например на скриншоте ниже, yandex.ru.
3.В новой группе правил создаём несколько правил, которые разрешают доступ для пользователей подсети 192.168.0.64/255.255.255.192 к определённым сайтам, в нашем примере правила разрешают доступ к 87.250.251.11(yandex.ru) и 213.180.204.25(mail.yandex.ru).
4.И в завершении нужно обязательно создать запрещающее всё правило!
Таким образом все пользователи из подсети 192.168.0.64/255.255.255.192 смогут посещать только yandex.ru и mail.yandex.ru, а на все остальные сайт доступ им будет запрещён. На пользователей из других подстей эти правила действовать не будут, соответсвенно и ограничивать их никак не будут.
Точно также можно создавать правило для конкретного IP-адреса из любой подсети, только в качестве маски нужно указывать 255.255.255.255.

fw1

Разрешить доступ пользователей сети к определённым сервисам (http, ftp, icq, smtp, pop3 и т.д.) в Интернете, а все остальные сервисы запретить.

 
В качестве примера рассмотрим сеть 192.168.1.0/255.255.255.0

1.Создаём новую группу правил.
2.Создаём правила разрешающие доступ по определённым портам (сервисам). На скриншоте ниже видно разрешающие правила для сервисов: FTP(20,21), TELNET(23), SMTP(25), DNS(53), HTTP(80), POP3(110), HTTPS(443) и ICQ(5190,4000).
3.Последним правилом в цепочке запрещаем (Deny) всё по протоколам TCP и UDP. ICMP, GRE и другие протоколы оставляем.

fw2

Обратите внимание:

DNS(53) работает по UDP протоколу.
Последним правилом в цепочке обязательно должно стоят запрещающее всё правило (Deny).
В примере для наглядности TCP порты (сервисы) разнесены по отдельным правилам. Указав нужные вам порты через запятую, вы можете прописать все порты выбранного протокола в одном правиле. Так же при добавлении портов вам доступен набор часто встречаемых служб с закрепленными за ними портами, что облегчает создание правил, ориентированных на различные Интернет-сервисы.

fw_ports

Важным побочным эффектом данной группы правил будет являться полное блокирование трафика файлообменных сетей (например torrent, edonkey).

В целом, именно такое правило даст полную и гарантированную защиту от использования клиентов таковых сетей внутри сети (они не будут ничего скачивать).

Запретить выкладывать файлы на файлообменники, при этом сами сайты файлообменников не запрещать.

Для этого нужно использовать "Ключевые слова".
Например создать правило фаервола как показано на скриншоте ниже:

 
fw3

Где:

192.168.1.0/255.255.255.0 ip адреса локальной сети (можно указать 0.0.0.0/0.0.0.0)
Адрес 89.108.64.8 - адрес ifolder.ru (Что бы узнать все IP адреса которые пренадлежат тому или иному сайту, прочитайте инструкцию "Как узнать, какие адреса использует какой-либо веб-ресурс?")
 
В контент-фильтре указано следующее:

fw3_1

Запретить пользователям сайт odnoklassniki.ru (другие запрещаются аналогично)

У этой задачи есть два решения:

1. Запрещение конкретных IP адресов принадлежащих сервису.

Узнать какие IP адреса принадлежат сайту (Что бы узнать все IP адреса которые пренадлежат тому или иному сайту, прочитайте инструкцию "Как узнать, какие адреса использует какой-либо веб-ресурс?")
Создать правила в фаерволе запрещающее эти IP адреса.

fw4

Плюс: надёжно закрывает любой трафик до IP адресов сайта.
Минус: у сайта могут появится другие IP адреса, которые нужно также будет заносить в фаервол.
Внимание! Адреса, указанные в данном правиле, могут быть изменены или дополнены владельцем odnoklassniki.ru.
 
2. Запрещение через контент-фильтр.

Создать ключевые слова характеризующие сайт odnoklassniki.ru, на скриншоте ниже приведён пример, на котором указано только имя домена в качестве ключевого слово, вы можете добавить другие ключевые слова.

fw4_1

Создать правило фаервола для данного фильтра.

fw4_2

Запретить XXX сайты

 
В веб-интерфейсе администратора в разделе "Безопасность" перейдите в оснастку "Ключевые слова". Там создайте шаблон для слов, которые встречаются на таких сайтах:
fw5
Все слова видны при просмотре страницы в режиме html текста.
 
Затем, перейдя в оснастку Системный Firewall, создайте правило вида:
fw5_1

Инструкция по созданию правила DNAT в Firewall'е Ideco (публикация локального сервера через портмаппинг):

1.Настроить авторизацию по IP для локального сервера. Локальный сервер, который будет опубликован, должен быть авторизован на Ideco ICS. (см. примечания ниже)
2.Создать правило портмаппинг (DNAT) в разделе "Системный Firewall" в Веб-интерфейсе (в пользовательском правило работать не будет).
Пример, если адрес локального терминального сервера 192.168.1.2, а внешний адрес у сервера Ideco ICS 87.00.00.77, то создаёте следующее правило:

portmapping4

3.Не забудьте перезапустить фаервол на сервере Ideco ICS. Используйте кнопку системного firewall'а:

firewall_12

* Примечания:

Если вы хотите опубликовать другую службу, то в место 3389 нужно написать порт этой службы, (например, для SMTP это 25)
Бывают случаи когда фаерволы или система (брандмауэр windows) блокируют любые подключения извне (с внешний IP-адресов) и ничего не говорят об этом. При этом из локальной сети ресурс будет доступен.
Так же может быть что локальный сервер авторизован на Ideco ICS но у него нет доступа к сети Интернет (нулевой баланс и т.д.). В таком случае соединение с таким сервером извне тоже невозможно.
Важными средствами диагностики работы соединения являются такие сетевые утилиты как telnet и tcpdump (wireshark).

Что делать если у вас нет статического IP адреса ?

Создаёте правило аналогичное первому только в графе Destination указываете 0.0.0.0 и маска соответственно тоже 0.0.0.0, а в поле "Входящий интерфейс" указываете имя интерфейса (можно посмотреть в веб-интерфейсе, в разделе "Пользователи", в графе "Логин" у Внешнего интерфейса), например Eeth2 или Eppp3:

portmapping_iface

Замечание:

Для того, чтобы из локальной сети тоже можно было подключаться на внешний IP-адрес необходимо:

1.На сервере в локальной сети добавить дополнительный IP-адрес из отдельной непересекающейся сети. (например, если у вас сеть 10.0.0.0/255.255.255.0, то брать адрес из  сети 10.0.1.0/255.255.255.0). Если доступ по существующему IP-адресу в локальной сети не предполагается, то можно просто заменить существующий адрес на новый (например на 10.0.1.2).
2.На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из выбранной подсети (например, 10.0.1.1/255.255.255.0).
3.Настроить авторизацию по IP для нового IP-адреса (в нашем примере 10.0.1.2).
4.Создать правило портмаппинг (DNAT) в разделе "Системный Firewall" в Веб-интерфейсе.
Например, если адрес локального сервера 10.0.1.2, а у ideco 87.00.00.77, то делаете создаёте следующее правило:

 

portmapping5

 
По сути это означает, что для этого сервера мы выделили отдельную не пересекающуюся подсеть. В идеале для этого нужен отдельный сетевой интерфейс, но в этом конкретном случае такое решение приемлемо.

 

Пример правила ограничивающего скорость к сети (группе компьютеров) при превышении объёма трафика, скачанного за сессию.

 

В достаточно большом количестве случаев может возникнуть необходимость искусственно ограничить скорость получения (или отдачи) трафика для группы комьютеров или одного компьютера в зависимости от объёма переданных данных.

 

1. Требуется определить кому и в каком направлении может быть необходимо принудительное ограничение скорости. В данном примере ограничивается входящая скорость трафика из любых сетей (0.0.0.0/0) в сторону сети 172.16.0.0/255.255.255.0.

2. Создать правило, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер.

3. Указать условие срабатывания правила (в данном примере размер сессии 256000 Кбайт (примерно 256Мбайт)).

4. Указать максимальную скорость которую получит группа компьютеров или один компьютер.

 

Firewall_Shaper

 

Пример правила ограничивающего скорость от сети (от группы компьютеров) в интернет.

 

В некоторых случаях может потребоваться ограничение исходящей скорости для трафика направляющегося в интернет от группы компьютеров или одного компьютера. К наиболее частому применению такового правила можно отнести лимитирование исходящей пропускной для пользователей, чьи компьютеры могут являться сомнительными в плане защищённости от вирусов и могут входить в бот сети учавствующие в распределённых DOS атаках. К этим же случаям можно причислить и пользователей другими агрессивными типами трафика (Torrent, EDonkey и прочие файлообменные сети).

 

1. Необходимо определить сеть, порождающую трафик, скорость которого нужно лимитировать. В данном примере взята сеть 172.16.0.0/255.255.255.0.

2. Создать правило, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер. Так как в данном случае желательно ограничивать скорость трафика в сторону сети интернет, то указываем все сети (0.0.0.0/0)

3. Указываем максимальную скорость в Кбит/сек.

 

Firewall_Shaper_1


Общие сведения
Групповой доступ только к определенным сервисам в Интернете
Запретить все кроме определенных сервисов в Интернете
Запрет обмена файлами через файлообменники в Интернете
Пример запрета сайта odnoklassniki.ru
Запретить ХХХ сайты
Публикация локального сервера через портмаппинг
Ограничение скорости в зависимости от объёма переданных данных
Ограничение скорости в сторону интернет