Правила Для Секции [Forward]

[7sysadmin]

Хочется настроить координатор таким образом, чтобы он разрешал доступ в интернет только конкретному компьютеру и только по конкретным портам.

Сейчас координатор настроен так, что он разрешает доступ в интернет любому компьютеру. Но хочется сделать доступ только конкретной машине.

В секции [forward] файла firewall.conf настроено правило

rule= num1 proto any from 192.168.0.0/24 to anyip pass

Вопрос такой: если я добавлю в эту же секцию правило:

rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip pass

то будет ли координатор разрешать доступ компютеру с адресом 192.168.0.227 доступ в интернет только по указанным портам? Или первое правило разрешит ему доступ сразу по всем портам?

[ingenico]

num <номер> – указывает номер правила в секции (от 0 до 65535). Номера используются для обозначения приоритета правил – чем меньше номер, тем выше приоритет. При обработке пакета сначала проверяются условия тех правил, приоритет которых выше, и при совпадении условий выполняется указанное в правиле действие, после чего дальнейший просмотр правил прекращается.

Ваше правило num 1 в итоге будет иметь более высокий приоритет чем правило num 2, и пакет из сети 192.168.0.0/24 (в том числе и от хоста 192.168.0.227) обработается именно по нему.

rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip pass

В вашем правиле указаны номера портов отправителя, а не получателя. Порты получателя тут разрешены все.

Правильно будет так: rule= num2 proto any from 192.168.0.227 to anyip:(22,80,443) pass

Для ограничения выходного трафика по IP и портам, придется отключить правило num 1 и написать для каждой машины (или группы машин, сети, подсети) свои правила.

[7sysadmin]

Спасибо. Я тоже потом так и настроил правила

Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы.

[ingenico]

Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы.

Можно объединять адреса, диапазоны и маски адресов, а также порты и диапазоны портов в группы, перечисляя их через запятую и заключая группу в круглые скобки.

Т.е. например написать одно правило доступа к определенным портам и добавлять туда в список в скобках нужные IP:

rule= num2 proto any from (192.168.0.227,192.168.0.107,192.168.0.240) to anyip:(22,80,443) pass

Громоздко, но к сожалению больше никак. В нешифрованном трафике кроме как по IP-адресу отправителя Координатор не идентифицирует конкретный источник.

[7sysadmin]

Жаль конечно, что кроме как по ip он не идентифицирует источник...Плохочто нельзя объединить группу компов, назвать ее "users" и ей уже настроить правило. Очень бы помогло

[7sysadmin]

Кстати, в секции forwad по-умолчанию нет правил для входящих соединений. Я так понимаю, что если сетевой интерфейс координатора работает в третьем режиме (пропускать все исходящие соединения, кроме запрещенных) то правила не нужны?

Может я чего-то недопонял, не подскажите, как тогда может выглядеть правило для входящих соединений?

[ingenico]

В 3-режиме правила для исходящего трафика не нужны.

В секции [local] задаются правила фильтрации локальных пакетов – пакетов, у которых отправителем либо получателем является сам Координатор.

В секции [forward] задаются правила фильтрации транзитных пакетов – пакетов, которые только проходят через Координатор на пути от отправителя к получателю.

Что-то я не представляю себе входящего из Интернета пакета, чтобы он по параметрам в секцию [forward] подходил... Если идет обращение из Интернета к портам самого Координатора или к публикуемым через него сетевым ресурсам локальной сети, то фильтры для таких входящих соединений в секции [local] будут. Пишутся по такому же формату (в смысле синтаксису).

А вот если Координатор стоит как шлюз между разными внутренними сетями, и маршрутизирует трафик между ними, то и в секции [forward] возможно понадобятся правила для входящих. Например из сетки 192.168.0.1/24 в сеть 10.10.10.0/24.

[7sysadmin]

Цитата из официального руководства:

Если при этом необходимо запретить входящие соединения на данный компьютер внутренней сети с внешнего адреса 194.226.82.50, то для этого в секцию [forward] нужно добавить следующее правило:

rule= num 90 drop proto tcp from 194.226.82.50 to 10.0.1.1:8080

[7sysadmin]

Есть еще один момент: блокировка доступа в социальные сети для незащищенных узлов локальной сети

Координатор ведь не работает с доменными именами, т.е. придется запрещать соединения по ip адресам...

[ingenico]

Цитата из официального руководства: ......

Точно. Вы правы. Если включен NAT, то анализ пакета идет так - source из исходного пакета, destination из транслированного пакета. Потому как раз в секции [forward] и будут эти правила.

Файерволл в Координаторе простой до безобразия, никаких URL-фильтров, контентного анализа и прочих сервисов безопасности нет. Ставить в локалке прокси-сервер с подобным функционалом придется, либо какой-нибудь "умный" шлюз.