Межсетевой экран (Firewall, сетевой экран) предназначен для защиты устройств локальной сети от атак извне. По умолчанию все компьютеры домашней сети скрыты от пользователей Интернета встроенным сетевым экраном и транслятором адресов NAT.
Механизм трансляции сетевых адресов NAT маскирует адреса компьютеров локальной сети за единственным адресом внешнего интерфейса, и работает непосредственно с содержимым кадров, подменяя адреса источника и назначения.
Сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов.
Встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов (LAN) сети в публичные (WAN), и запрещает в обратную сторону. Пользовательскими настройками можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети.
В предустановленных настройках по умолчанию публичным (внешним, public) является интерфейс, предназначенный для соединения с внешними сетями или для доступа в Интернет. Например, такими интерфейсами являются:
подключение по выделенной линии Ethernet;
беспроводное подключение по USB-модему мобильного Интернета 3G/4G/LTE;
подключение с авторизацией на основе протоколов PPPoE/PPTP/L2TP.
Домашними (локальными, private) являются интерфейсы домашней сети (клиенты подключенные к интернет-центру по Ethernet и по Wi-Fi) и гостевой беспроводной сети.
По умолчанию Keenetic принимает сетевые подключения только с локальных интерфейсов. Из домашних интерфейсов разрешено устанавливать соединения в публичные интерфейсы, и на само устройство для управления и доступа к сервисам, которые включены на интернет-центре (FTP, Transmission, сетевое использование USB-накопителей и т.п.). Для клиентов гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.
Между локальными интерфейсами устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить.
Из публичных интерфейсов запрещено устанавливать соединения на любые другие интерфейсы, а также на само устройство.
Важно
По умолчанию доступ к управлению интернет-центром (к веб-конфигуратору) из внешней сети заблокирован.
1. Как реализован межсетевой экран?
Упрощенно, сетевой экранfirewall можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения.
Сетевой экран оперирует следующими настройками:
IP-параметры (основные критерии правил фильтрации): IP-адрес/Подсеть, Протокол, Номер порта;
действия этих правил (Запретить или Разрешить) на пакеты сетевого трафика;
привязка правил к конкретному интерфейсу.
Пользовательская часть сетевого экрана Keenetic выполняет правила фильтрации, созданные для конкретного интерфейса. При создании правила сетевого экрана очень важно правильно определить интерфейс, для которого оно будет создано. Дело в том, что в привязке правил к интерфейсу также задаётся направление потока трафика, к которому данные правила будут применены. Правила могут выполняться для входящего или исходящего потока WAN- или LAN-интерфейса.
Входящее направление (in) — всегда к устройству, исходящее (out) — от него.
Относительно интерфейса, направление потока определяется как:
входящее (in) для трафика из внешней сети в локальную на WAN-порту, для LAN-интерфейсов это направление исходящее (out);
поток из локальной сети во внешнюю для WAN-интерфейсов является исходящим (out), а для LAN-интерфейсов входящим (in).
Согласно приведённой схеме, входящий пакет из внешней сети в локальную на WAN-интерфейсе — это входящее направление для правила сетевого экрана, но на LAN-интерфейсе правило для контроля этого трафика — уже исходящее (out).
Важно
В интернет-центрах серии Keenetic правила сетевого экрана действуют не «по-пакетно», а в рамках сессии (соединения). Поэтому при блокировке доступа куда-либо нужно запрещать прохождение пакетов со стороны инициатора запроса, а не ответы на эти запросы. Например, для запрета доступа по протоколу HTTP с локальных хостов на внешний адрес 77.88.99.10 нужно создать одно правило на локальном интерфейсе LAN, т.к. инициатор установки сессии (входящий трафик) находится в локальной сети.
Также стоит отметить, что в случае когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии – принудительного или по истечении времени жизни сессии.
Для корректной работы вновь созданного правила (для сброса текущих/активных соединений), интерфейс интернет-центра, к которому оно применимо, следует отключить и включить снова.
2. Настройка правил межсетевого экрана
Правила сетевого экрана выполняются в порядке их указания по списку: первое верхнее и далее вниз. Для любого правила (точнее, для их группы или списка управления доступом) должен быть определён интерфейс, на котором они будут выполняться.
В каждом из правил должны быть указаны:
сети источника трафика и его назначения (IP-адреса хостов или подсетей);
протокол, для которого будет действовать настройка (TCP, UDP, ICMP);
для протоколов TCP и UDP обязательно должен быть указан номер порта;
действие, которое нужно выполнить над пакетом: Запретить (deny) или Разрешить (permit).
Важно
В Keenetic правила сетевого экрана обрабатываются после правил Трансляции сетевых адресов (NAT). Поэтому при создании правил сетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов.
3. Настройка правил из веб-конфигуратора
Веб-интерфейс интернет-центра предлагает наиболее удобный способ управления правилами сетевого экрана. Но он имеет ограничение: созданные через веб-конфигуратор правила применяются только к входящему (in) направлению. Настроить правила для исходящего (out) направления нельзя. Через интерфейс командной строки (CLI) интернет-центра возможно создавать правила для любого направления.
Настройка правил сетевого экрана производится на странице "Межсетевой экран".При добавлении или редактировании правила в окне настройки выбирается действие — "Разрешить" прохождение трафика или "Запретить", и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться.
Подсказка
Правила следует создавать для интерфейса, на котором фильтруемый трафик является инициирующим сессию;
При создании отсеивающих фильтров, разрешающие правила (permit) должны располагаться выше запрещающих (deny);
При настройке правил можно использовать только IP-адреса (при указании адреса источника или назначения нельзя использовать доменные имена).
Для получения информации по настройке правил межсетевого экрана из веб-конфигуратора, обратитесь к инструкции "Межсетевой экран".
4. Исключения в работе межсетевого экрана
Некоторые приложения (сервисы), доступные в интернет-центрах Keenetic, самостоятельно изменяют политики безопасности для своей работы. К ним относятся, например, Серверы VPN, FTP, настройка переадресации портов в NAT с внешнего интерфейса на компьютер в локальной сети или служба UPnP (механизм автоматического открытия портов на хосты в локальной сети). Со стороны пользователя при их использовании не требуется никаких дополнительных настроек, нужные разрешения добавляются автоматически (например, при настройке проброса портов в NAT, создание дополнительных правил в межсетевом экране не требуется, разрешения для доступа создаются автоматически).
Но при необходимости с помощью пользовательских правил можно ограничить трафик, который поступает через автоматически открытые направления, оставив только необходимый. Общая логика настройки таких ограничений — "разрешив нужное, запретим всё остальное".
Например, включенный VPN-сервер PPTP автоматически открывает входящий порт tcp/1723 на каждом из активных интерфейсов устройства. Если нужно ограничить возможность подключения для обращений с определённых адресов в сети Интернет, на внешнем интерфейсе следует создать правила, разрешающие прохождение протокола TCP на порт назначения 1723 от требуемых адресов-источников, а затем — запрещающее протокол TCP на порт 1723 от любых других узлов.
Выполнить настройку правил межсетевого экрана можно из интерфейса командной строки (CLI) интернет-центра.
Дополнительную информацию вы найдете в статье: "Настройка правил межсетевого экрана из командного интерфейса".
Подсказка
Рекомендуем ознакомиться с инструкцией "Примеры использования правил межсетевого экрана".