Брандмауэр, файрвол, межсетевой экран, универсальный шлюз безопасности
элемент компьютерной сети, осуществляющий фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами
Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил - ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность[7][8].
Существует два принципа обработки поступающего трафика.
-Что явно не запрещено, то разрешено».
-Что явно не разрешено, то запрещено»
General Settings
Port Forwards
Traffic Rules
NAT Rules
Custom Rules
общие настройки
Портовые переадресации
Правила дорожного движения
Правила NAT
Пользовательские правила
wanwan: переключить VLAN: "eth0.2" wan6: переключить VLAN: "eth0.2"
▾
General Settings (Общие настройки)
При работе с пакетами возможны три варианта :
Allow -пропустить пакет
Drop - не пропустить, просто отбросить пакет (более безопасно )
Reject - не пропустить, отбросить пакет проинформировав о недоступности сервиса (менее безопасно)
Глобально трафик делится на:
Input - входящим в роутер
Output - исходящим из роутера
Forward - перемещающийся внутри роутера (проходящим между различными интерфейсами)
Сетевой трафик делится на зоны, раздел зоны (Zone)
По умолчанию их две:
LAN - зона локальной сети
WAN - зона внешней сети
Вы можете добавить свою зону нажав Add (добавить)
Zone Forwardings Пересылка между зонами
Covered networks (используемые сети) - сети которые будут использоваться в конкретной зоне
Masquerading - динамическая подмена адреса из локальной сети на другой адрес чаще всего на внешний адрес роутера выданный провайдером
MSS clamping - ограничение размера пакета (при бытовом использовании не трогаем )
Allow forward to destination zones - зоны из которых будет приходить пересылка пересылка (из каких зон будет происходить пересылка) (Разрешить пересылку в зоны назначения)
Allow forward from source zones - зоны куда будет приходить пересылка (в какие зоны будет происходить пересылка (Разрешить пересылку из исходных зон)
Masquerading
Включить защиту от SYN-атаки - отправке большого количества SYN-запросов за единицу времени. SYN-запрос это запрос на подключение по протоколу TCP, тем самым становится не возможно подключение клиента, не являющегося злоумышленником
Отбрасывать недопустимые пакеты - галочка
правило INPUT для зоны описывает,
правило OUTPUT для зоны описывает, что произойдёт с трафиком, исходящим от самого роутера через интерфейсы этой зоны.
правило FORWARD для зоны описывает, что произойдёт с трафиком, проходящим между различными интерфейсами внутри этой зоны.
Ниже представлены параметры, используемые в секции zone:
В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций:
Пропускаю (Allow)
Не пропускают
Allow -пропустить пакет
Drop - не пропустить, просто отбросить пакет (более безопасно )
Reject - не пропустить, отбросить пакет проинформировав о недоступности сервиса (менее безопасно)
Routing/NAT Offloading
Маршрутизация / разгрузка NAT
Experimental feature. Not fully compatible with QoS/SQM.Экспериментальная особенность. Не полностью совместим с QoS / SQM.
Software flow offloading (Выгрузка программного потока)
Software based offloading for routing/NAT (Программная разгрузка для маршрутизации / NAT
)
Advanced Settings Расширенные настройки
Conntrack Settings Настройки Conntrack
Extra iptables arguments Дополнительные аргументы iptables