... h2. *СОЗДАНИЕ ГРУППЫ ПРАВИЛ* Для добавления группы правил, нажмите на кнопку !image276.png! в верхней панели. !worddavb1725e4e997ebf0d5838db7f5a9caa8e.png|height=138,width=196! 1. Введите *Имя группы правил* и описание (не обязательно). 2. Нажмите *OK*. После того, как группа создана, в нее можно добавлять правила Firewall. h2. СОЗДАНИЕ ПРАВИЛА FIREWALL Для создания правила в группе, выделите ее и нажмите на кнопку !image276.png! в панели инструментов справа. !worddav49e6b37f1e786fd33df58fea9c940dd4.png|height=220,width=473! Далее, необходимо ввести параметры правила Firewall: *Источник, назначение и протокол* !worddavccf3439666bfd30b54b13847055a65b0.png|height=27,width=328! *Source*, *mask* -- IP-адрес и маска подсети источника пакетов. !worddavf0ace4619835a762a4b35270b6ab5623.png|height=28,width=348! *Destination*, *mask*\-\- IP-адрес и маска подсети назначения пакетов. *Примечание:* Маска подсети 0.0.0.0 означает любые пакеты, а маска 255.255.255.255 означает только указанный в соответствующем поле IP-адрес. !worddavcbf2ae2e00d09eb6e1fa6e302b80a417.png|height=81,width=166! *Protocol* -- Протокол передаваемых данных. Самый распространенный протокол - TCP. В качестве протокола, можно выбрать пункт из списка, или указать номер протокола в виде числа. 0 -- означает любые протоколы. Список закрепленных за номерами протоколов можно посмотреть, нажав на кнопку !worddavc1899169aa2f7bea62b10b9b69b65e2b.png|height=21,width=19! справа от списка протоколов. Для возврата к справке по общим параметрам, нажмите на эту кнопку еще раз. *Замечание:* При выборе протокола, отличного от *ALL* в верхней правой части окна появляются дополнительные опции правила Для протоколов TCP и UDP появляются поля ввода портов для источника и назначения. Можно выбрать порты либо из списка, либо ввести вручную. Допускается ввод нескольких портов через запятую. В этом случае, порты будут проверяться по принципу ИЛИ. 0 -- означает любы порты. Список закрепленных за номерами портов можно увидеть, нажав на кнопку !worddavc1899169aa2f7bea62b10b9b69b65e2b.png|height=21,width=19! справа от списка портов. Для возврата к справке по общим параметрам, нажмите на эту кнопку еще раз. Для протокола ICMP появится поле, позволяющее выбрать конкретный тип ICMP-сообщений. ВНИМАНИЕ\! 0 -- означает эхо-запросы (команда ping), а не любые ICMP-сообщения. *Действие* Далее необходимо выбрать *Действие*: !worddavaabc44fe38438920c190f4d2e1d1ac6f.png|height=131,width=268! *Запретить* -- Запретить трафик *Разрешить* -- Разрешить трафик *Шейпер* -- Ограничить скорость трафика. С помощью этого правила можно ограничить скорость трафика пользователей, серверов или протоколов. При выборе этого действия появится параметр *Макс. Скорость*. Скорость указывается в Килобит/сек. Например, максимальной скорости в 10 Кбайт/сек, соответствует скорость примерно 90 Кбит/сек. *QOS* -- Назначить приоритет трафика. Всего есть 8 приоритетов трафика, которые можно назначить трафику, отобранному по критериям, указанным в общих правилах Firewall. При выборе этого действия, появится поле для ввода приоритета. В первую очередь будет обрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь -- трафик с приоритетом 8. *Важно:* Правила QOS и Шейпер будут работать только в случае, если в консоли включен параметр "*Включить интеллектуальное распределение канала*" в разделе *Конфигурирование сервера \-> Qos. Шейпер...* Не рекомендуется создавать более 100 правил с действием *QOS* или *Шейпер* *Portmapper (DNAT)* -- Перенаправить трафик. При выборе этого правила, появятся поля: !worddav82809eb4df9f56c33d678df4b313ceda.png|height=27,width=366! . Здесь необходимо указать адрес и, опционально, порт назначения. Порт имеет смысл указывать, только если протокол TCP или UDP. С помощью этой возможности можно прозрачно переадресовать трафик на другой адрес или порт. Например, для использования внутреннего прозрачного прокси-сервера или для публикации внутреннего веб-сервера. Можно перенаправить HTTP-запросы ко внешнему IP-адресу на внутренний веб-сервер. Или, например, перенаправить все запросы пользователей на определенный сайт на внутренний прокси-сервер. При учете трафика будет использованы параметры уже после перенаправления. Перенаправление осуществляется на сетевом уровне. Следует учесть, что если будет использовано перенаправление WEB-трафика на сторонний прокси сервер, то он должен быть настроен на такой режим работы. *(больше не поддерживается) Filter: Название фильтра* -- С помощью этого действия можно запретить трафик, если передаваемые данные удовлетворяют критерию фильтра. Фильтры настраиваются отдельно -- на вкладке "*Контент фильтр*" *Путь* Далее необходимо выбрать какие пакеты будут проверяться. Для этого необходимо выбрать из списка *Путь* одно из следующих значений: *FORWARD* -- Пакеты, проходящие через сервер. Это основной трафик абонентов. *INPUT* -- Входящие пакеты, предназначенные для самого сервера. *OUTPUT* -- Пакеты, исходящие от самого сервера. Если вы хотите ограничить доступ к серверу Carbon Billing, например, для блокировки серверов "спамеров", используйте путь *INPUT* и *OUTPUT*. Для ограничения доступа пользователя или нескольких пользователей к сайту, используйте путь *FORWARD*. Для более удобного ограничения нескольких пользователей одним правилом, назначьте этим пользователям IP-адрес из отдельного пула. Тогда в качестве IP-адресов источника или назначения можно будет указать подсеть, соответствующую этому пулу. h6. {color:#ff0000}Внимание:{color} {color:#000000}После создания правила в файерволе необходимо нажать кнопку "Применить" (зеленая галочка на верхней панели {color} !galka.png|border=1! ){color:#000000}, которая перезапустит файервол с новым правилом.{color} h2. Проверка добавленных правил Если после добавления правил в системный файрвол в менеджере они не работают: # Проверьте что правило включено и включена группа, в которой это правило находится. Выключите/включите правило, группу и заново нажмите кнопку "Применить" (зеленая галочка на верхней панели), которая перезапустит файервол с новым правилом # Проверить что правила вообще добавлены, для этого в консоли введите {code} iptables -nvL fw_custom_forward iptables -nvL fw_custom_input iptables -nvL fw_custom_output {code} и проверьте вывод каждой команды, соответствуют ли правила тем, что вы добавили в менеджере
|