Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

Правила в таблицах имеют приоритет сверху вниз (т. е. верхнее правило приоритетнее нижнего). По умолчанию используется политика РАЗРЕШИТЬ. Если не будут созданы запрещающие правила, все порты и протоколы для пользователей будут разрешены.

Не рекомендуем создавать запрещающие весь трафик FORWARD- и INPUT-правила, так как могут возникнуть проблемы при срабатывании разрешающих правил.

Если такие правила все же создаются, необходимо:

  • Создать правило, разрешающее трафик от пользователя;

  • Создать правило, разрешающее трафик для специальной зоны источника Исходящий трафик устройства.

В противном случае клиентский HTTP/HTTPS-трафик будет блокироваться.

Для удобства управления правилами в интерфейсе они разбиты на четыре таблицы: FORWARD, DNAT, INPUT и SNAT.

Не рекомендуется при создании правил файрвола с протоколом TCP или UDP указывать порт источника. Это связано с тем, что:

  • Порт источника выбирается случайно, и лишь некоторые приложения работают с фиксированным портом;

  • Порт источника может подмениться другим при прохождении пакета через NAT.

При наличии большого количества правил в таблицах Файрвола воспользуйтесь кнопкой Фильтры.

FORWARD

Правила в данной таблице действуют на трафик, проходящий между зонами сервера, т. е. сетью интернет и локальной сетью, а также между локальными сетями. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

DNAT (перенаправление портов)

Правила этой таблицы используются для прямого перенаправления портов с внешней зоны на определенные ресурсы во внутренней зоне. Такие правила часто называются правилами проброса портов (port forwarding, port-mapping).

INPUT

Таблица для правил входящего трафика на зоны сервера. Как правило, это трафик для служб сервера (например, почтового сервера).

SNAT

Таблица пользовательских правил для управления трансляцией сетевых адресов. Для включения автоматического SNAT локальных сетей, переведите соответствующую опцию в положение включен. Пользовательские правила SNAT приоритетнее автоматического SNAT локальных сетей.

Создание правил

Для создания правила в нужной таблице нажмите кнопку Добавить в левом верхнем углу экрана.

Если в строке Протокол выбрать из списка параметр Любой, то правило будет действовать на весь трафик.

При создании правил для фильтрации веб-трафика из локальных сетей (80, 443 TCP-порты) для полноценной работы правила в поле Зона источника должен указываться объект Любой. Если будет указан иной объект, то правило не будет обрабатывать веб-трафик.

Создание FORWARD-правила
  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

    • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

    • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

    • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

    • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

    • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

    • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

    • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

    • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

  • Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем;

  • HIP-профили - профиль, соответствующий устройству, от которого исходит трафик.

Назначение

  • Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы;

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

  • Запретить - запрещает трафик;

  • Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Профили фильтрации трафика

Дополнительно

  • Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

  • Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Создание DNAT-правила
  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

    • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

    • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

    • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

    • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

    • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

    • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

    • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

    • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

  • Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах;

  • Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них;

  • Сменить порт назначения - при указании диапазона портов пакет будет перенаправлен в порт с тем же номером, на который он пришел, если этот порт попадает в указанный диапазон.

Действия

  • DNAT - транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. Ниже в поле Изменить IP-адрес назначения можно указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

  • Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

  • Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

  • Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Создание INPUT-правила
  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

    • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

    • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

    • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

    • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

    • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

    • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

    • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

    • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

  • Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Порт назначения - указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

  • Запретить - запрещает трафик;

  • Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Профили фильтрации трафика

Дополнительно

  • Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

  • Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

Создание SNAT-правила
  • Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

  • Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Источник;

  • Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

  • Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем;

  • Сменить IP-адрес источника - заполняется, только если на сетевом интерфейсе несколько IP-адресов и необходим SNAT от конкретного IP-адреса.

Назначение

  • Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

    • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

    • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

    • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

    • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

    • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

    • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

    • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

    • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

  • Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

  • Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

  • Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

  • SNAT - транслирует адреса источника;

  • Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

  • Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

  • Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

  • Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

С 18 версии NGFW правила Файрвола, которые блокировали трафик за счет перехвата DNS в предыдущих версиях, не смогут его блокировать. Чтобы это исправить, создайте и включите правила с профилями IPS и DPI в разделе Правила трафика -> Файрвол -> INPUT.

Last updated