Перейти к содержанию

Пограничный брандмауэр

Во вкладке Пограничный брандмауэр содержится раскрывающийся список серверов, для каждого из которых можно просмотреть перечень имеющихся правил и добавить собственные правила. Изначально, перечисленные в данной вкладке правила влияют только на сеть управления и внутренний интерфейс loopback. Добавляемые пользователем правила могут также влиять на внутренние интерфейсы узла, созданные пользователем. Они не затрагивают сети ВМ. Настройки брандмауэра для сети ВМ выполняются в разделе Сети - Управление виртуальными сетями основного меню.

Для каждого сервера доступны кнопки запуска, остановки и перезапуска брандмауэра.

Для создания и применения правил имеются кнопки Добавить правила и Применить правила.

При обновлении базовых правил сервера необходимо нажать кнопку Обновить базовые правила

Правила брандмауэра подразделяются на четыре типа, для каждого из которых можно создавать правила и каждому соответствует собственная вкладка:

  • фильтрация входящего трафика;

  • фильтрация исходящего трафика;

  • шейпинг входящего трафика;

  • шейпинг исходящего трафика.

Шейпинг

Шейпинг — это ограничение пропускной способности для определенного типа трафика.

Правила фильтрации трафика

Для добавления правила фильтрации трафика, необходимо выбрать одну из двух вкладок Фильтр. вх. трафик или Фильтр. исх. трафик и нажать кнопку Добавить правила

При добавлении правила необходимо в открывшемся окне заполнить следующие поля: - индекс - порядковый номер правила (если поле оставить пустым, то индекс назначится автоматически);

  • действие (accept, drop);

  • протокол, на котором будет применено правило (icmp, tcp, udp, none);

  • направление трафика, обрабатываемого правилом (in, out);

  • параметры, соответствующие выбранному протоколу;

  • критерии отбора источника пакетов (адрес, порт);

  • критерии отбора получателей пакета (адрес, порт);

  • входящий интерфейс (на котором будет действовать правило);

  • описание;

  • включение правила после создания.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

При нажатии на правило открывается окно, в котором можно обновить, изменить параметры или удалить правило.

Для каждого правила доступны следующие параметры для изменения:

  • действие для правила (accept - пропускать пакеты, drop - блокировать пакеты);

  • протокол, на котором будет применено правило (icmp, tcp, udp, none);

  • состояние соединения (invalid - недействительное, new - новое, established - действительное, related - связанное);

  • порт источника (раскрывающийся список имеющихся портов, также можно ввести название интересующего порта и нажать кнопку Добавить);

  • порт назначения (раскрывающийся список имеющихся портов. Также можно ввести название интересующего порта и нажать кнопку Добавить);

  • адрес источника (раскрывающийся список имеющихся адресов. Также можно ввести адрес источника и нажать кнопку Добавить);

  • адрес назначения (раскрывающийся список имеющихся адресов. Также можно ввести адрес назначения и нажать кнопку Добавить);

  • описание;

  • включение или выключение правила.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

Шейпинг трафика

Для добавления правила фильтрации трафика, необходимо выбрать одну из двух вкладок Шейп. вх.трафик или Шейп. исх.трафик и нажать кнопку Добавить правила.

При добавлении правила необходимо в открывшемся окне заполнить следующие поля:

  • протокол, на котором будет применено правило (icmp, tcp, udp, none);

  • направление трафика, обрабатываемого правилом (in, out);

  • лимит, сверх которого трафик будет отбрасываться, если не разрешено превышение лимита;

  • единицы измерения лимита (bytes, kbytes, mbytes, packets);

  • разрешение превышения лимита;

  • размер буфера, на который разрешено превышение установленного лимита и единицы измерения буфера (bytes, kbytes, mbytes, packets), если разрешено превышение лимита;

  • параметры, соответствующие выбранному протоколу;

  • критерии отбора источника пакетов (адрес);

  • критерии отбора получателей пакета (адрес);

  • описание;

  • включение правила после создания.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

При нажатии на правило открывается окно, в котором можно обновить, изменить параметры или удалить правило.

Для каждого правила доступны следующие параметры для изменения:

  • лимит, сверх которого трафик будет отбрасываться, если не разрешено превышение лимита;

  • единицы измерения лимита (bytes, kbytes, mbytes, packets);

  • разрешение превышения лимита;

  • размер буфера, на который разрешено превышение установленного лимита и единицы измерения буфера (bytes, kbytes, mbytes, packets), если разрешено превышение лимита;

  • параметры, соответствующие выбранному протоколу;

  • адрес источника (раскрывающийся список имеющихся адресов. Также можно ввести адрес источника и нажать кнопку Добавить);

  • адрес назначения (раскрывающийся список имеющихся адресов. Также можно ввести адрес назначения и нажать кнопку Добавить);

  • описание;

  • включение или выключение правила.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

Фильтр списка файлов

Фильтр позволяет отобрать определенные правила на основе заданных критериев. Для того чтобы воспользоваться фильтром, необходимо нажать на кнопку Фильтр.

Критерии фильтрации:

  • индекс;

  • действие;

  • протокол;

  • адрес источника/назначения. Можно указать как единичный адрес, так и адрес сети (например, 192.168.20.1 или 192.168.20.0, 192.168.20.0/24);

  • порт источника/назначения. Можно указать как единичный порт, так и диапазон портов, используя - (например, 22 или 80-1000);

  • описание правила;

  • включить неточный поиск.

Также возможно указывать несколько адресов или портов через запятую (без пробела). Например: 192.168.20.1,192.168.20.10,192.168.30.0.24 или 22,80,90-100.

Каждый критерий фильтра сужает круг поиска, однако для адресов и портов можно изменить данное поведение, включив Неточный поиск, который изменяет логику поиска на частичное соответствие критериям фильтрации. Таким образом фильтр отобразит правила, у которых есть хотя бы одно соответствие по этим критериям.

Пример. Необходимо найти правила с протоколом TCP и портом источника 80,100,1000-2000. Если не включать Неточный поиск, то фильтр будет искать правила с полным соответствием заданным критериям. Но если включить Неточный поиск, то фильтр будет искать правила с протоколом TCP и хотя бы одним портом из списка выше.

Чтобы применить фильтр, необходимо нажать на кнопку Применить. Чтобы сбросить фильтр, необходимо нажать на кнопку Сбросить все.