Брандмауер - support system

У даній статті буде розказано про те, які правила існують в межсетевом екрані і для чого вони потрібні.

Всі правила брандмауера діляться на 4 типи:

Швидкість нашого NAT становить близько 92 Мбіт / сек.

Особливості створення та роботи правил NAT:

  1. Будь-яке правило NAT має мати в якості джерела - один з локальних інтерфейсів, як призначення - один із зовнішніх інтерфейсів, які визначені у вкладці Інтерфейси консолі адміністратора.
  2. Правило буде транслювати тільки ті сервіси, які ви явно вкажіть в правилі. Ви можете вибрати їх з готового списку або створити власні сервіси. Також ви можете задати їх списком з одиничних, або скористатися сервісами типу ANY: FULL (всі протоколи і порти), ANY: TCP (всі порти протоколу TCP) ANY: UDP (всі порти протоколу UDP) ANY: ICMP (ICMP-запит). Надалі про сервіси буде тільки згадка, що їх потрібно поставити.
  3. Найважливіше! Правило NAT має бути застосоване до користувача або групі користувачів. Правило буде працювати тільки у тих, у кого воно явно задано. Таким чином можна розмежовувати доступ по NAT для різних користувачів або груп користувачів. Надалі про користувачів також буде тільки згадка.
  4. У будь-якого правила NAT є опціональний параметр «Не вважати трафік", який дозволяє не записувати в статистику трафік, який був трансльований на дане правило. Галочка доступна в 4-ій вкладці при створенні правила.

1.1. Розглянемо найпростіше правило транслювання. Є один WAN- і один або кілька LAN-інтерфейсів. Тоді правило буде виглядати так:

Джерело: LAN. Вибрати необхідно той, до якого "закріплений" необхідний користувач або група користувачів.

Користувачі або групи.

1.2 Наступний приклад для тих, у кого два і більше зовнішніх інтерфейсів з метою розвантажити основний канал. Є кілька WAN- і один або кілька LAN-інтерфейсів. Тоді потрібно створити точно такі ж правила, як і в прикладі вище, з однією лише різницею, що треба позначити необхідний WAN-інтерфейс і вибрати необхідну групу користувачів, кого куди захочете пустити.

Призначення: Dial-Up або PPP.

Користувачі або групи.

Користувачі або групи.

Тип правил Firewall - це такий тип правил, який призначений для явного заборони пакетів по певних портів і протоколів, якщо спочатку дозволено все; або для явного дозволу пакетів по певних портів і протоколів, якщо спочатку все заборонено. Увага! Не варто плутати дані правила з правилами типу NAT, правила Firewall здійснюють перевірку, пропустити чи пакет або відкинути, а не здійснюють трансляцію, як правила NAT.

Особливості створення та роботи правил Firewall:

Почнемо з заборонних правил.

2.1.2 Або ви хочете заборонити певному користувачеві користуватися поштою, тоді правило буде виглядати так:

Джерело: Хост, наприклад, 192.168.0.2

Призначення: LAN (бо пакет спочатку прийде на даний інтерфейс)

Сервіси: SMTP, POP3, IMAP

2.2. Розглянемо базові правила, які необхідні для роботи з NONUSER в режимі Заборонити. Їх три, проте в залежності від політики вашої компанії їх може бути два. Це з тієї причини, яка описана в пункті 3 особливостей роботи.

2.2.1 Правило, яке дозволяє весь трафік на локальний інтерфейс з локальної мережі:

Сервіси: ANY: FULL (хоча тут можливі варіації, що хочете, то і дозволяєте)

2.2.2 Правило, яке дозволяє весь трафік від локального інтерфейсу в локальну мережу:

Сервіси: ANY: FULL (хоча тут можливі варіації, що хочете, то і дозволяєте)

2.2.3 Правило, що дозволяє виходити на зовнішній мережу сервера UserGate:

Сервіси: ANY: FULL (хоча тут можливі варіації, що хочете, то і дозволяєте)

2.2.4 Оскільки правилами вище ви дозволили трафік з допустимих 4 сторін в три з них, то залишаються правила, що дозволяють ззовні підключення до сервера. Зупинимося на тому ж віддаленому підключенні:

2.3 Останній варіант - це змішані політики, наприклад, ви скористалися NONUSER - Заборонити, зробили дозволяють правила, але хочете заборонити конкретному хосту певні сервіси, тоді вам потрібно використовувати правило 2.1.2 і розташувати дане правило вище за списком, ніж дозволяє правило 2.2.1 .

Маршрутизація - це таке правило, яке необхідно для зв'язку двох і більше локальних мереж. Насправді UserGate підтримує маршрутизацію Windows, тому якогось особливого сенсу в даному правилі немає, без нього також буде працювати доступ (якщо ви його явно не заборонили через Firewall), однак якщо ви не хочете, щоб даний трафік враховувався в статистиці, то без цього правила вам не обійтися.

Чи не вважати трафік, ОК.

Публікація портів - це тип правил, який працює як NAT, тільки у зворотний бік - надає доступ до деяких ресурсів у вашій локальній мережі зовні. З його допомогою вирішуються такі завдання, як надання віддаленого доступу з домашньої машини до сервера всередині мережі. Дане правило з використанням одного порту еквівалентно роботі правила Призначення портів. тільки працює за допомогою драйвера.

Особливості створення та роботи правил DNAT:

  1. Даний тип правил не вміє працювати з Dial-Up або PPP-з'єднанням подібно Firewall. (ТІЛЬКИ В ВЕРСІЇ МОЛОДШЕ 6.3)
  2. Трансляція може проводиться як по 1 порту, тоді порт джерела і порт призначення можна змінювати, так і по декількох портів одночасно, тоді трансляція йде порт-в-порт.
  3. Трансляція може проводитися з використанням різних протоколів одночасно, наприклад, по TCP: 1723, UDP: 1723 і GRE.

4.1 Розглянемо приклад згаданого раніше підключення по RDP до сервера всередині локальної мережі з домашньої машини.

4.2 А також приклад проброса портів MS VPN на внутрішній RRAS сервер:

Сервіси: VPN PPtP, GRE.

У статті про помилки правил брандмауера можна знайти можливі рішення або рекомендації до збору логів для вирішення відповідної проблеми.