Межсетевой экран используется, чтобы ограничить доступ к тем или иным сетевым ресурсам, основываясь на IP-адресах, портах отправителя и назначения или используемых протоколах.
Активация межсетевого экрана осуществляется на странице Network/Firewall:
Работа межсетевого экрана основана на прохождении пакетом цепочек правил, где каждое правило определяет одно из действий: приём или отброс пакета, основываясь на одном или нескольких критериях. Добавление правил осуществляется на вкладке Filter. Для каждой цепочки устанавливается действие по умолчанию — политика. Оно выполняется в случае, если пакет не попал ни под один критерий:
Замечание
При установлении политики в значение DROP для цепочки INPUT или OUTPUT, удостоверьтесь, что в этих цепочках есть разрешающие правила, иначе управление маршрутизатором может быть потеряно.
Для правила определены следующие действия:
-
ACCEPT — приём пакета;
-
DROP — отброс пакета без отправки уведомления источнику пакета;
-
REJECT — отброс пакета с отправкой уведомления.
Цепочку FORWARD проходят пакеты, являющиеся транзитными, то есть идущие с одного интерфейса маршрутизатора на другой:
В цепочку INPUT попадают пакеты, предназначающиеся маршрутизатору:
В цепочку OUTPUT попадают пакеты, источником которых является маршрутизатор:
Добавление правил осуществляется нажатием кнопки "+", и заполнением формы, открывшейся в новом окне:
-
Enabled — активно ли правило.
-
Short name — имя правила. Должно включать только английские буквы и цифры.
-
Protocol — протокол. Для протоколов tcp, udp доступны дополнительные параметры:
-
Destination port — порт получателя пакета.
-
Source port — порт отправителя пакета.
-
-
Source IP — IP-адрес или сеть отправителя пакета.
-
Destination IP — IP-адрес или сеть получателя пакета.
-
Action — действие, выполняемое над пакетом.
Замечание
Если внесённые вами изменения не вступают в силу, проверьте, активирован ли межсетевой экран на странице Network/Firewall.