Примеры создания правил файрвола
Статья содержит примеры настройки правил в Файрволе Ideco NGFW.
Last updated
Was this helpful?
Статья содержит примеры настройки правил в Файрволе Ideco NGFW.
Last updated
Was this helpful?
Чтобы настроить правило Файрвола для IPsec-подключений, выберите в поле Зона источника или Зона назначения настроенное IPsec-подключение.
Примеры данных настроек подробно описаны в статьях раздела Публикация ресурсов.
Вопросы блокировки программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО - описаны в статье Блокировка популярных ресурсов.
1. На вкладке Правила трафика -> Файрвол -> FORWARD нажмите Добавить.
2. Заполните поля:
Протокол - выберите TCP;
Адрес - выберите пользователя или группу пользователей;
Назначения - укажите адрес терминального сервера;
Порты назначения - укажите порт 3389;
Действие - Разрешить;
Дополнительно - включите правило.
3. Нажмите Добавить.
1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.
2. Создайте правило, заполнив поля, как на скриншоте, и включите его:
Доступ к веб-интерфейсу будет разрешен только с IP-адреса 192.168.1.120.
192.168.1.1 - IP-адрес Ideco NGFW в локальной сети.
80 TCP порт используется для выпуска сертификатов Let`s Encrypt.
1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.
2. Создайте правило, заполнив поля, как на скриншоте, и включите его:
ВАЖНО: Рекомендуем использовать в качестве DNS-сервер Ideco NGFW. Но если необходимо использовать внешний DNS-сервер, то выполните действия:
1. На вкладке Защита и управление DNS -> Внешние DNS выключите Перехват пользовательских DNS-запросов.
2. Добавьте внешний DNS-сервер.
3. Перейдите на вкладку Правила трафика -> Файрвол -> FORWARD.
4. Создайте правило Запретить все и включите его.
5. Создайте правило, заполнив поля:
Протокол - выберите UDP;
Назначение:
Адрес - укажите IP-адрес внешнего DNS-сервера;
Порт назначения - укажите порт 53;
Действие - Разрешить;
Дополнительно - включите правило.
Для работы протокола DNS может быть недостаточно правила с протоколом UDP, поскольку DNS использует в качестве транспорта UDP и TCP. Для решения задачи создайте аналогичное правило с протоколом TCP, используя кнопку Клонировать в таблице правил.
Пример: нужно разрешить доступ до Ideco NGFW из России по VPN через IKEv2/IPsec.
ВАЖНО: Правило актуально, если на вкладке INPUT есть правило Запретить все.
1. Перейдите на вкладку Правила трафика -> Файрвол -> INPUT.
2. Создайте правило, заполнив поля, как на скриншоте, и включите его:
Протокол - выберите UDP;
Источник:
Адрес - выберите страну Россия;
Назначение:
Адрес - укажите внешний IP-адрес Ideco NGFW;
Порт назначения - укажите порты 500 и 4500;
Действие - Разрешить;
Дополнительно - включите правило.
Примеры представлены в статье Как разрешить доступ к ресурсам в ограниченной сети.
1. Перейдите на вкладку Правила трафика -> Файрвол -> DNAT.
2. Создайте правило, заполнив поля, как на скриншоте, и включите его:
5.120.1.25 - IP-адрес Ideco NGFW во внешней сети.
192.168.1.50 - IP-адрес устройства в локальной сети.
Для полноценной работы IPsec создайте такое же правило с протоколом AH, нажав Клонировать. Помимо этого, нужно создать DNAT-правило с протоколом UDP и портами 500, 4500.
