Пограничный брандмауэр
Во вкладке Пограничный брандмауэр содержится раскрывающийся список серверов, для каждого из которых можно просмотреть перечень имеющихся правил и добавить собственные правила. Перечисленные в данной вкладке правила, настроенные по умолчанию, влияют только на сеть управления и внутренний интерфейс loopback. Добавляемые пользователем правила могут также влиять на внутренние интерфейсы узла, созданные пользователем. Они не затрагивают сети ВМ.
Настройки брандмауэра для сети ВМ выполняются в разделе основного меню Сети - Виртуальные сети - <Виртуальная сеть> - Настройки брандмауэра.
Для каждого сервера доступны функциональные возможности:
-
Запуск брандмауэра на узле.
-
Остановка брандмауэра на узле.
-
Перезапуск брандмауэра на узле.
-
Включить логирование.
Журнал сохраняется на диске выбранного узла в директории
/var/log/ulog/
. -
Добавить.
Добавление нового правила фильтрации или шейпинга правила.
-
Обновить базовые правила.
-
Применить.
Применение правил фильтраций.
Правила брандмауэра подразделяются на четыре типа. Для каждого из типов создаются правила и каждому соответствует вкладка:
-
Фильтрация входящего трафика.
-
Фильтрация исходящего трафика.
-
Шейпинг входящего трафика.
-
Шейпинг исходящего трафика.
Шейпинг
Шейпинг — это ограничение пропускной способности для определенного типа трафика.
Правила фильтрации трафика
Добавление правила
Для добавления правила фильтрации трафика, необходимо выбрать одну из двух вкладок Фильтр. вх. трафик или Фильтр. исх. трафик и нажать кнопку Добавить.
При добавлении правила необходимо в открывшемся окне заполнить следующие поля:
-
Индекс.
Порядковый номер правила.
Если оставить поле пустым, то индекс назначится автоматически. -
Действие.
Может принимать значения:
- accept - разрешить трафик.
- drop - запретить трафик. -
Протокол.
Протокол, на который будет распространяться правило: - icmp - протокол управляющих сообщений в сети.
- tcp - протокол гарантированной передачи данных.
- udp - протокол негарантированной передачи данных.
- sctp - протокол передачи данных с управлением потока.
- none - правило брандмауэра будет распространено на любой протокол. -
Состояние соединения.
- invalid - недействительное.
- new - новое.
- established - действительное.
- related - связанное.
-
Параметры, соответствующие выбранному протоколу.
Для icmp.-
ICMP тип.
-
ICMP код.
Для tcp и udp.
-
Порт источника.
-
Порт назначения.
-
-
Адрес источника.
-
Адрес назначения.
-
Входящий интерфейс.
-
Описание.
-
Включить.
Включение правила после создания.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Параметры правила
При нажатии на правило открывается окно, в котором можно обновить, изменить параметры или удалить правило.
Для каждого правила доступны для изменения все параметры, описанные в разделе Добавление правила фильтрации трафика.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Шейпинг трафика
Добавление правила
Для добавления правила фильтрации трафика, необходимо выбрать одну из двух вкладок Шейп. вх.трафик или Шейп. исх.трафик и нажать кнопку Добавить.
При добавлении правила необходимо в открывшемся окне заполнить следующие поля:
-
Протокол.
Протокол, на который будет распространяться правило:
- icmp
- tcp
- udp
- sctp
- none -
Лимит.
Лимит, при превышении которого трафик будет отбрасываться, если не разрешено превышение лимита.
-
Единицы измерения лимита.
- bytes
- kbytes
- mbytes
- packets
-
Разрешить превышение лимита.
-
Размер буфера.
Активно только при включенном параметре Разрешить превышение лимита.
Размер, на который разрешено превышение установленного лимита. -
Ед. измерения размера буфера.
Активно только при включенном параметре Разрешить превышение лимита.
Единицы измерения буфера:
- bytes
- kbytes
- mbytes
- packets -
Параметры, соответствующие выбранному протоколу.
ICMP
- ICMP тип (Выбрать все, 0, 3, 5, 8, 9, 10, 11, 12, 13, 14).
- ICMP код (Выбрать все, 0, 1, 2, 3).
TCP, UDP
- Порт источника.
- Порт назначения.
-
Адрес источника.
-
Адрес назначения.
-
Описание.
-
Включить.
Включение правила после создания.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Параметры правила
При нажатии на правило открывается окно, в котором можно обновить, изменить параметры или удалить правило.
Для каждого правила доступны для изменения все параметры, описанные в разделе Добавление правила шейпинга трафика.
После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.
Фильтр списка файлов
Фильтр позволяет отобрать определенные правила на основе заданных критериев. Для того чтобы воспользоваться фильтром, необходимо нажать на кнопку Фильтр.
Критерии фильтрации:
-
Индекс.
-
Действие.
-
Протокол.
-
Адрес источника.
-
Адрес назначения.
Допускается указывать единичный адрес, набор адресов (через запятую и без пробела) и адрес сети.
Например, "192.168.20.1", "192.168.20.1,192.168.20.2" или "192.168.20.0/24". -
Порт источника.
-
Порт назначения.
Допускается указывать единичный порт и диапазон портов. Например, "22" или "80-1000".
-
Описание правила.
-
Включить неточный поиск.
Фильтр отобразит правила, у которых есть хотя бы одно соответствие по критериям Адрес источника, Адрес назначения, Порт источника и Порт назначения.
Пример применения параметра фильтрации Включить неточный поиск
Необходимо найти правила с протоколом "TCP" и портами источника "80,100,1000-2000".
Если параметр фильтрации Неточный поиск не включен, то фильтр будет искать правила с полным соответствием заданным критериям.
Если параметр фильтрации Неточный поиск включен, то фильтр будет искать правила с протоколом "TCP" и хотя бы одним портом из списка.
Чтобы применить фильтр, необходимо нажать на кнопку Применить.
Чтобы сбросить фильтр, необходимо нажать на кнопку Сбросить все.