Межсетевой экран используется, чтобы ограничить доступ к тем или иным сетевым ресурсам, основываясь на IP-адресах, портах отправителя и назначения, или используемого протокола.
Активация межсетевого экрана осуществляется на странице Network/Firewall:
Работа межсетевого экрана основана на прохождении пакетом цепочек правил, где каждое правило определяет одно из действий: приём или отброс пакета, основываясь на одном или нескольких критериях. Добавление правил осуществляется на вкладке Filter. Для каждой цепочки устанавливается действие по-умолчанию — политика, т.е. в случае, если пакет не попал ни под один критерий:
При установлении политики в значение DROP для цепочки INPUT или OUTPUT, удостоверьтесь, что в этих цепочках есть разрешающие правила, иначе управление маршрутизатором может быть потеряно.
Для правила определены следующие действия:
ACCEPT — приём пакета;
DROP — отброс пакета без отправки уведомления источнику пакета;
REJECT — отброс пакета с отправкой уведомления;
Цепочку FORWARD проходят пакеты, являющиеся транзитными, т.е. идущие с одного интерфейса маршрутизатора на другой:
В цепочку INPUT попадают пакеты, предназначающиеся маршрутизатору:
В цепочку OUTPUT попадают пакеты, источником которых является маршрутизатор:
Добавление правил осуществляется нажатием кнопки "+", и заполнением формы, открывшейся в новом окне:
Enabled — активно ли правило.
Short name — имя правила. Должно включать только английские буквы и цифры.
Protocol — протокол. Для протоколов tcp, udp доступны дополнительные параметры:
Destination port — порт получателя пакета.
Source port — порт отправителя пакета.
Source IP — IP-адрес или сеть отправителя пакета.
Destination IP — IP-адрес или сеть получателя пакета.
Action — действие, выполняемое над пакетом.
Если внесённые вами изменения не вступают в силу, проверьте, что вы активировали межсетевой экран на странице Network/Firewall.