Jump to content

Recommended Posts

Хочется настроить координатор таким образом, чтобы он разрешал доступ в интернет только конкретному компьютеру и только по конкретным портам.

Сейчас координатор настроен так, что он разрешает доступ в интернет любому компьютеру. Но хочется сделать доступ только конкретной машине.

В секции [forward] файла firewall.conf настроено правило

rule= num1 proto any from 192.168.0.0/24 to anyip pass

Вопрос такой: если я добавлю в эту же секцию правило:

rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip pass

то будет ли координатор разрешать доступ компютеру с адресом 192.168.0.227 доступ в интернет только по указанным портам? Или первое правило разрешит ему доступ сразу по всем портам?

Share this post


Link to post
Share on other sites
num <номер> – указывает номер правила в секции (от 0 до 65535). Номера используются для обозначения приоритета правил – чем меньше номер, тем выше приоритет. При обработке пакета сначала проверяются условия тех правил, приоритет которых выше, и при совпадении условий выполняется указанное в правиле действие, после чего дальнейший просмотр правил прекращается.

Ваше правило num 1 в итоге будет иметь более высокий приоритет чем правило num 2, и пакет из сети 192.168.0.0/24 (в том числе и от хоста 192.168.0.227) обработается именно по нему.

rule= num2 proto any from 192.168.0.227:(22,80,443) to anyip pass

В вашем правиле указаны номера портов отправителя, а не получателя. Порты получателя тут разрешены все.

Правильно будет так: rule= num2 proto any from 192.168.0.227 to anyip:(22,80,443) pass

Для ограничения выходного трафика по IP и портам, придется отключить правило num 1 и написать для каждой машины (или группы машин, сети, подсети) свои правила.

Share this post


Link to post
Share on other sites

Спасибо. Я тоже потом так и настроил правила :)

Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы.

Share this post


Link to post
Share on other sites

Я вот только не могу понять, как объединять компьютеры в группы, если на них не установлен vipnet клиент. Чтобы правила применялись сразу для всей группы.

Можно объединять адреса, диапазоны и маски адресов, а также порты и диапазоны портов в группы, перечисляя их через запятую и заключая группу в круглые скобки.

Т.е. например написать одно правило доступа к определенным портам и добавлять туда в список в скобках нужные IP:

rule= num2 proto any from (192.168.0.227,192.168.0.107,192.168.0.240) to anyip:(22,80,443) pass

Громоздко, но к сожалению больше никак. В нешифрованном трафике кроме как по IP-адресу отправителя Координатор не идентифицирует конкретный источник.

Share this post


Link to post
Share on other sites

Жаль конечно, что кроме как по ip он не идентифицирует источник...Плохочто нельзя объединить группу компов, назвать ее "users" и ей уже настроить правило. Очень бы помогло :)

Share this post


Link to post
Share on other sites

Кстати, в секции forwad по-умолчанию нет правил для входящих соединений. Я так понимаю, что если сетевой интерфейс координатора работает в третьем режиме (пропускать все исходящие соединения, кроме запрещенных) то правила не нужны?

Может я чего-то недопонял, не подскажите, как тогда может выглядеть правило для входящих соединений?

Share this post


Link to post
Share on other sites

В 3-режиме правила для исходящего трафика не нужны.

В секции [local] задаются правила фильтрации локальных пакетов – пакетов, у которых отправителем либо получателем является сам Координатор.

В секции [forward] задаются правила фильтрации транзитных пакетов – пакетов, которые только проходят через Координатор на пути от отправителя к получателю.

Что-то я не представляю себе входящего из Интернета пакета, чтобы он по параметрам в секцию [forward] подходил... Если идет обращение из Интернета к портам самого Координатора или к публикуемым через него сетевым ресурсам локальной сети, то фильтры для таких входящих соединений в секции [local] будут. Пишутся по такому же формату (в смысле синтаксису).

А вот если Координатор стоит как шлюз между разными внутренними сетями, и маршрутизирует трафик между ними, то и в секции [forward] возможно понадобятся правила для входящих. Например из сетки 192.168.0.1/24 в сеть 10.10.10.0/24.

Share this post


Link to post
Share on other sites

Цитата из официального руководства:

Если при этом необходимо запретить входящие соединения на данный компьютер внутренней сети с внешнего адреса 194.226.82.50, то для этого в секцию [forward] нужно добавить следующее правило:

rule= num 90 drop proto tcp from 194.226.82.50 to 10.0.1.1:8080

Share this post


Link to post
Share on other sites

Есть еще один момент: блокировка доступа в социальные сети для незащищенных узлов локальной сети :rolleyes:

Координатор ведь не работает с доменными именами, т.е. придется запрещать соединения по ip адресам...

Share this post


Link to post
Share on other sites

Цитата из официального руководства: ......

Точно. Вы правы. Если включен NAT, то анализ пакета идет так - source из исходного пакета, destination из транслированного пакета. Потому как раз в секции [forward] и будут эти правила.

Файерволл в Координаторе простой до безобразия, никаких URL-фильтров, контентного анализа и прочих сервисов безопасности нет. Ставить в локалке прокси-сервер с подобным функционалом придется, либо какой-нибудь "умный" шлюз.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.