7sysadmin Опубликовано 21 Ноября 2013 Жалоба Поделиться Опубликовано 21 Ноября 2013 Хочется настроить координатор таким образом, чтобы он разрешал доступ в интернет только конкретному компьютеру и только по конкретным портам.Сейчас координатор настроен так, что он разрешает доступ в интернет любому компьютеру. Но хочется сделать доступ только конкретной машине.В секции [forward] файла firewall.conf настроено правилоrule= num1 proto any from 192.168.0.0/24 to anyip passВопрос такой: если я добавлю в эту же секцию правило:rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip passто будет ли координатор разрешать доступ компютеру с адресом 192.168.0.227 доступ в интернет только по указанным портам? Или первое правило разрешит ему доступ сразу по всем портам? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 25 Ноября 2013 Жалоба Поделиться Опубликовано 25 Ноября 2013 num <номер> – указывает номер правила в секции (от 0 до 65535). Номера используются для обозначения приоритета правил – чем меньше номер, тем выше приоритет. При обработке пакета сначала проверяются условия тех правил, приоритет которых выше, и при совпадении условий выполняется указанное в правиле действие, после чего дальнейший просмотр правил прекращается.Ваше правило num 1 в итоге будет иметь более высокий приоритет чем правило num 2, и пакет из сети 192.168.0.0/24 (в том числе и от хоста 192.168.0.227) обработается именно по нему.rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip passВ вашем правиле указаны номера портов отправителя, а не получателя. Порты получателя тут разрешены все.Правильно будет так: rule= num2 proto any from 192.168.0.227 to anyip:(22,80,443) passДля ограничения выходного трафика по IP и портам, придется отключить правило num 1 и написать для каждой машины (или группы машин, сети, подсети) свои правила. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 25 Ноября 2013 Автор Жалоба Поделиться Опубликовано 25 Ноября 2013 Спасибо. Я тоже потом так и настроил правила Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 25 Ноября 2013 Жалоба Поделиться Опубликовано 25 Ноября 2013 Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы.Можно объединять адреса, диапазоны и маски адресов, а также порты и диапазоны портов в группы, перечисляя их через запятую и заключая группу в круглые скобки.Т.е. например написать одно правило доступа к определенным портам и добавлять туда в список в скобках нужные IP:rule= num2 proto any from (192.168.0.227,192.168.0.107,192.168.0.240) to anyip:(22,80,443) passГромоздко, но к сожалению больше никак. В нешифрованном трафике кроме как по IP-адресу отправителя Координатор не идентифицирует конкретный источник. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 25 Ноября 2013 Автор Жалоба Поделиться Опубликовано 25 Ноября 2013 Жаль конечно, что кроме как по ip он не идентифицирует источник...Плохочто нельзя объединить группу компов, назвать ее "users" и ей уже настроить правило. Очень бы помогло Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 25 Ноября 2013 Автор Жалоба Поделиться Опубликовано 25 Ноября 2013 Кстати, в секции forwad по-умолчанию нет правил для входящих соединений. Я так понимаю, что если сетевой интерфейс координатора работает в третьем режиме (пропускать все исходящие соединения, кроме запрещенных) то правила не нужны?Может я чего-то недопонял, не подскажите, как тогда может выглядеть правило для входящих соединений? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 25 Ноября 2013 Жалоба Поделиться Опубликовано 25 Ноября 2013 В 3-режиме правила для исходящего трафика не нужны.В секции [local] задаются правила фильтрации локальных пакетов – пакетов, у которых отправителем либо получателем является сам Координатор.В секции [forward] задаются правила фильтрации транзитных пакетов – пакетов, которые только проходят через Координатор на пути от отправителя к получателю.Что-то я не представляю себе входящего из Интернета пакета, чтобы он по параметрам в секцию [forward] подходил... Если идет обращение из Интернета к портам самого Координатора или к публикуемым через него сетевым ресурсам локальной сети, то фильтры для таких входящих соединений в секции [local] будут. Пишутся по такому же формату (в смысле синтаксису).А вот если Координатор стоит как шлюз между разными внутренними сетями, и маршрутизирует трафик между ними, то и в секции [forward] возможно понадобятся правила для входящих. Например из сетки 192.168.0.1/24 в сеть 10.10.10.0/24. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 26 Ноября 2013 Автор Жалоба Поделиться Опубликовано 26 Ноября 2013 Цитата из официального руководства: Если при этом необходимо запретить входящие соединения на данный компьютер внутренней сети с внешнего адреса 194.226.82.50, то для этого в секцию [forward] нужно добавить следующее правило: rule= num 90 drop proto tcp from 194.226.82.50 to 10.0.1.1:8080 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 26 Ноября 2013 Автор Жалоба Поделиться Опубликовано 26 Ноября 2013 Есть еще один момент: блокировка доступа в социальные сети для незащищенных узлов локальной сети Координатор ведь не работает с доменными именами, т.е. придется запрещать соединения по ip адресам... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 27 Ноября 2013 Жалоба Поделиться Опубликовано 27 Ноября 2013 Цитата из официального руководства: ......Точно. Вы правы. Если включен NAT, то анализ пакета идет так - source из исходного пакета, destination из транслированного пакета. Потому как раз в секции [forward] и будут эти правила.Файерволл в Координаторе простой до безобразия, никаких URL-фильтров, контентного анализа и прочих сервисов безопасности нет. Ставить в локалке прокси-сервер с подобным функционалом придется, либо какой-нибудь "умный" шлюз. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.