Создание правила Firewall

В начало  Назад  Далее

Для создания правила в группе, выделите ее и нажмите на кнопку firewall_4 в панели инструментов справа.

firewall_1

Далее, необходимо ввести параметры правила Firewall:

Источник, назначение и протокол

firewall_5

Source, mask – IP-адрес и маска подсети источника пакетов.

firewall_6

Destination, mask– IP-адрес и маска подсети назначения пакетов.

Примечание: Маска подсети 0.0.0.0 означает любые адреса, а маска 255.255.255.255 означает только указанный в соответствующем поле IP-адрес.

layer7

Протокол – Протокол передачи данных. Самый распространенный протокол - TCP.

Замечание: При выборе протокола, отличного от ALL в верхней правой части окна появляются дополнительные опции правила.

Протоколы:

ICMP - (англ. Internet Control Message Protocol — межсетевой протокол управляющих сообщений) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции.

TCP - (англ. Transmission Control Protocol - протокол управления передачей) — один из основных сетевых протоколов Интернета, предназначенный для управления передачей данных в сетях и подсетях TCP/IP. Выполняет функции протокола транспортного уровня модели OSI.

UDP - (англ. User Datagram Protocol — протокол пользовательских датаграмм) — это транспортный протокол для передачи данных в сетях IP без установления соединения. Он является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор — 0x11. В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol (протокол ненадёжных датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных.

GRE – (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Номер протокола в IP — 47. В основном используется при создании VPN (Virtual Private Network).

Layer 7: netsupport – служебные протоколы. В данный набор входят: DNS, SSH, NTP;

Layer 7: messanger – службы мгновенных сообщений. В данный набор входят следующие службы: AIM(ICQ) Jabber IRC MSN Messenger Yahoo;

Layer 7: consumer – наиболее используемые протоколы – HTTP, IMAP, POP3, SMTP и их шифрованные аналоги;

Layer 7: games – сетевые игры – Armagetron, Battlefield1942, Battlefield2142 Counter-Strike Source, Day Of Defeat Source, Doom 3, Guildwars, Liveforspeed, Mohaa, Quake, Half-Life, Quake 1, Runesofmagic, Subspace, Teamfortress 2,  World Of Warcraft, Half-Life 2, Deathmatch;

Layer 7: realtime – трафик реального времени. В этот набор входят: RTP, RTSP(потоковое аудио и видео), SIP(IP телефония), h323(IP телефония), STUN(IP телефония);

Layer 7: ssl – SSL соединения;

Layer 7: p2p – peer-to-peer сети – AppleJuice, Gnutella, Edonkey, Napster, Bittorrent, Ares, Directconnect, Gnucleuslan, Fasttrack, Hotline, Imesh, Mute, Openft, Poco, Soribada, Soulseek, Tesla, Thecircle, а так же любой большой трафик не распознанного;

Layer 7: tunnel – туннельные соединения - SOCKS, VPN, OpenVPN

Подробнее о возможностях и способах применения Layer 7 можно посмотреть в главе Layer7 Фильтрация.

Внимание! Список протоколов не является фиксированным, в следующих версиях он может быть изменен.

Для протоколов TCP и UDP появляются поля ввода портов для источника и назначения. Можно выбрать порты либо из списка, либо ввести вручную. Допускается ввод нескольких портов через запятую. В этом случае, порты будут проверяться по принципу "ИЛИ". 0 – означает любые порты. Список закрепленных за номерами портов можно увидеть, нажав на кнопку firewall_8 справа от списка портов.

firewall_9

Действие

Далее необходимо выбрать Действие:

firewall_10

Запретить – Запрет трафик

Разрешить – Разрешить трафик

Шейпер –  Ограничить скорость трафика. С помощью этого правила можно ограничить скорость трафика пользователей, серверов или протоколов. При выборе этого действия появится параметр Макс. Скорость. Скорость указывается в Килобит/сек. Например, максимальной скорости в 10 Кбайт/сек, соответствует скорость примерно 80 Кбит/сек.

QOS – Назначить приоритет трафика. Всего есть 8 приоритетов трафика, которые можно назначить трафику, отобранному по критериям, указанным в общих правилах Firewall. При выборе этого действия, появится поле для ввода приоритета. В первую очередь будет обрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь – трафик с приоритетом 8.

Важно:

Правила QOS и Шейпер будут работать только в случае, если в консоли включен параметр "Включить интеллектуальное распределение канала". Подробнее, см. Qos и Шейпер

 

Не рекомендуется создавать более 100 правил с действием QOS или Шейпер

Portmapper (DNAT) – Трансляция адреса назначения, позволяющее перенаправить трафик. При выборе этого правила, появятся поля: firewall_11. Здесь необходимо указать адрес и, опционально, порт назначения. Порт имеет смысл указывать, только если протокол TCP или UDP. С помощью этой возможности можно прозрачно переадресовать трафик на другой адрес или порт. Например, для использования внутреннего прозрачного прокси-сервера или для публикации внутреннего веб-сервера. Можно перенаправить HTTP-запросы ко внешнему IP-адресу на внутренний веб-сервер. Или, например, перенаправить все запросы пользователей на определенный сайт на внутренний прокси-сервер. При учете трафика будет использованы параметры уже после перенаправления. Перенаправление осуществляется на сетевом уровне.

Примечание:

Для перенаправления на встроенный прокси сервер необходимо сделать перенаправление на IP-адрес 169.254.254.254, порт 80. При использовании стороннего прокси в большинстве случаев, необходимо перенаправлять только TCP с портом назначения 80. Для использования такого правила, встроенный прокси сервер должен быть включен. Подробнее см Веб кэш, веб антивирус, proxy.

Следует учесть, что если будет использовано перенаправление WEB-трафика на сторонний прокси сервер, то он должен быть настроен на такой режим работы.

SNAT -  Трансляция адреса источника. Аналогично действию "NAT" в профиле (переопределяет NAT в профиле).

Разрешить и выйти из Firewall - разрешить трафик и не сканировать правила находящиеся ниже по списку.

Запретить и разорвать подключение - запретить соединение, не устанавливать tcp-сессию.

Логировать - все пакеты попадающее под данное правило будут записываться в /var/log/kern.log

Не SNAT - отменяет действите SNAT (либо в Firewall-е выше по списку, либо в профиле).

Не DNAT - отменяет действите DNAT (либо в Firewallе выше по списку, либо в профиле).

Разрешить без авторизации - разрешить доступ к ресурсу без авторизации на Ideco ICS.

MASQUERADE - аналогично действию SNAT, применяется когда адрес у интерфейса, на который делается переадресация, динамический, нужно указывать имя интерфейса в соответствущей графе.

Filter: Название фильтра – С помощью этого действия можно запретить трафик, если передаваемые данные удовлетворяют критерию фильтра. Фильтры настраиваются отдельно – на вкладке "Контент фильтр", подробнее см. Ключевые слова

Путь

Далее необходимо выбрать какой путь прохождения трафика будет проверяться. Для этого необходимо выбрать из списка Путь одно из следующих значений:

FORWARD – Пакеты, проходящие через сервер. Это основной трафик абонентов.

INPUT – Входящие пакеты, предназначенные для самого сервера.

OUTPUT – Пакеты, исходящие от самого сервера.

Если вы хотите ограничить доступ к серверу Ideco ICS, например, для блокировки серверов "спамеров", используйте путь INPUT и OUTPUT. Для ограничения доступа пользователя или нескольких пользователей к сайту, используйте путь FORWARD.

* Примечание: Для более удобного ограничения нескольких пользователей одним правилом, назначьте этим пользователем IP-адрес из отдельного пула. Тогда в качестве IP-адресов источника или назначения можно будет указать подсеть, соответствующую этому пулу.

Дополнительные условия

firewall_additions

Размер сессии, Кбайт/с: нижний лимит размера TCP-сессии при достижении которого правило начнет работать.

Скорости сессии, Кбит/с: позволяет задать дипазон скоростей в Кбит/с у соединений для которых будет работать это правило.

Время действия: Позволяет задать временной промежуток действия вашего правила.

Входящий интерфейс: Если у вас динамический IP-адрес на локальном интерфейсе, то указав в этом поле его имя (например: Leth1) в правило будет подставляться каждый раз текущее значение IP-адреса с интерфейса.

Исходящий интерфейс: Поле используется в случае проброса порта в локальную сеть при динамическом внешнем IP-адресе: указывается название интерфейса (например: Eppp3) через который делается проброс, при этом в основном поле в графе Destination нужно прописать IP-адрес и маску подсети как 0.0.0.0 (IP-адрес будет подставляться из текущего значения на указанном интерфейсе).