Firewall

Брандмауэр, файрвол, межсетевой экран, универсальный шлюз безопасности

элемент компьютерной сети, осуществляющий фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил - ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность^[7][8].

Существует два принципа обработки поступающего трафика.

-Что явно не запрещено, то разрешено».

-Что явно не разрешено, то запрещено»

Классификация межсетевых экранов

General Settings

Port Forwards

Traffic Rules

NAT Rules

Custom Rules

общие настройки

Портовые переадресации

Правила дорожного движения

Правила NAT

Пользовательские правила

wanwan: переключить VLAN: "eth0.2" wan6: переключить VLAN: "eth0.2"

▾

General Settings (Общие настройки)

При работе с пакетами возможны три варианта :

• Allow -пропустить пакет

• Drop - не пропустить, просто отбросить пакет (более безопасно )

• Reject - не пропустить, отбросить пакет проинформировав о недоступности сервиса (менее безопасно)

Глобально трафик делится на:

• Input - входящим в роутер

• Output - исходящим из роутера

• Forward - перемещающийся внутри роутера (проходящим между различными интерфейсами)

Сетевой трафик делится на зоны, раздел зоны (Zone)

По умолчанию их две:

LAN - зона локальной сети

WAN - зона внешней сети

Вы можете добавить свою зону нажав Add (добавить)

Zone Forwardings Пересылка между зонами

Covered networks (используемые сети) - сети которые будут использоваться в конкретной зоне

Masquerading - динамическая подмена адреса из локальной сети на другой адрес чаще всего на внешний адрес роутера выданный провайдером

MSS clamping - ограничение размера пакета (при бытовом использовании не трогаем )

Allow forward to destination zones - зоны из которых будет приходить пересылка пересылка (из каких зон будет происходить пересылка) (Разрешить пересылку в зоны назначения)

Allow forward from source zones - зоны куда будет приходить пересылка (в какие зоны будет происходить пересылка (Разрешить пересылку из исходных зон)

Masquerading

Включить защиту от SYN-атаки - отправке большого количества SYN-запросов за единицу времени. SYN-запрос это запрос на подключение по протоколу TCP, тем самым становится не возможно подключение клиента, не являющегося злоумышленником

Отбрасывать недопустимые пакеты - галочка

• правило INPUT для зоны описывает,

• правило OUTPUT для зоны описывает, что произойдёт с трафиком, исходящим от самого роутера через интерфейсы этой зоны.

• правило FORWARD для зоны описывает, что произойдёт с трафиком, проходящим между различными интерфейсами внутри этой зоны.

Ниже представлены параметры, используемые в секции zone:

В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций:

Пропускаю (Allow)

Не пропускают

Allow -пропустить пакет

Drop - не пропустить, просто отбросить пакет (более безопасно )

Reject - не пропустить, отбросить пакет проинформировав о недоступности сервиса (менее безопасно)

Routing/NAT Offloading

Маршрутизация / разгрузка NAT

Experimental feature. Not fully compatible with QoS/SQM.Экспериментальная особенность. Не полностью совместим с QoS / SQM.

Software flow offloading (Выгрузка программного потока)

Software based offloading for routing/NAT (Программная разгрузка для маршрутизации / NAT

)

• Advanced Settings Расширенные настройки

• Conntrack Settings Настройки Conntrack

• Extra iptables arguments Дополнительные аргументы iptables