Differences

This shows you the differences between two versions of the page.

--- tssltd:сценарий_применения_межсетевого_экрана [2022/11/02 12:47] – created r.krestianinov
+++ tssltd:сценарий_применения_межсетевого_экрана [2024/03/11 14:26] (current) – old revision restored (2023/05/25 15:10) n.ganenkov
@@ Line 1: / Line 1: @@
+[[tssltd:настройка межсетевого экрана|Вернуться к оглавлению]]
+==== Фильтрация доступа к устройству по протоколу https и ssh ====
 На рисунке представлена схема сети, на которой устройство МКСЗ Diamond VPN/FW, администратор сети и пользователи находятся в одном сегменте (см. рисунок 149). Необходимо ограничить доступ к устройству МКСЗ Diamond VPN/FW по протоколу https и ssh для всех пользователей, кроме администратора.
-Рисунок 149 – Схема сети, где администратор сети и пользователи находятся в одном сегменте
+{{ :tssltd:1е.png |}}
+Рисунок 1 – Схема сети, где администратор сети и пользователи находятся в одном сегменте
 Для настройки правила фильтрации для входящего и исходящего трафика необходимо добавить разрешающее правило для системного интерфейса «l0».
-Для настройки правила фильтрации для системного интерфейса «l0» необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 150).
+Для настройки правила фильтрации для системного интерфейса «l0» необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 2).
-Рисунок 150 – Настройка правила фильтрации для системного интерфейса «l0»
+{{ :tssltd:2е.png |}}
-В новом окне «Создание правила фильтрации» на вкладке «Мета» в поле «Входящий интерфейс» необходимо задать системный интерфейс «l0» (см. рисунок 151).
+Рисунок 2 – Настройка правила фильтрации для системного интерфейса «l0»
+В новом окне «Создание правила фильтрации» на вкладке «Мета» в поле «Входящий интерфейс» необходимо задать системный интерфейс «l0» (см. рисунок 3).
-Рисунок 151 – Окно «Создание правила фильтрации» и положение вкладки «Мета»
+{{ :tssltd:3е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 152).
+Рисунок 3 – Окно «Создание правила фильтрации» и положение вкладки «Мета»
+На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 4).
-Рисунок 152 – Положение вкладки «Действие» и опции «Ассеpt»
+{{ :tssltd:4е.png |}}
-После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 153).
+Рисунок 4 – Положение вкладки «Действие» и опции «Ассеpt»
+После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 5).
-Рисунок 153 – Положение кнопки «Сохранить»
+{{ :tssltd:5е.png |}}
+Рисунок 5 – Положение кнопки «Сохранить»
 После создания правила фильтрации для системного интерфейса необходимо создать правило фильтрации для протокола https.
-Для настройки правила фильтрации для протокола https или ssh необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 154).
+Для настройки правила фильтрации для протокола https или ssh необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 6).
-Рисунок 154 – Настройка правила фильтрации для протокола «https или ssh»
+{{ :tssltd:6е.png |}}
-В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес «192.168.1.7» в поле «маска подсети» необходимо задать маску подсети «255.255.255.255», в поле «Адрес назначения» необходимо задать ip-адрес «192.168.1.1», в поле «маска подсети» задать маску подсети «255.255.255.255» (см. рисунок 155).
+Рисунок 6 – Настройка правила фильтрации для протокола «https или ssh»
+В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес «192.168.1.7» в поле «маска подсети» необходимо задать маску подсети «255.255.255.255», в поле «Адрес назначения» необходимо задать ip-адрес «192.168.1.1», в поле «маска подсети» задать маску подсети «255.255.255.255» (см. рисунок 7).
-Рисунок 155 – Окно «Создание правил фильтрации» и положение вкладки «IP»
+{{ :tssltd:7е.png |}}
-На вкладке «Протокол» в поле «Протокол» необходимо задать протокол «TCP», в поле «Порт назначения» необходимо задать порт номер 443 для протокола https (см. рисунок
+Рисунок 7 – Окно «Создание правил фильтрации» и положение вкладки «IP»
-Рисунок 156).
+На вкладке «Протокол» в поле «Протокол» необходимо задать протокол «TCP», в поле «Порт назначения» необходимо задать порт номер 443 для протокола https (см. рисунок рисунок 8).
-Рисунок 156 – Положение вкладки «Протокол»
+{{ :tssltd:8е.png |}}
-На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 157).
+Рисунок 8 – Положение вкладки «Протокол»
+На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 9). На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).
-Рисунок 157 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
+{{ :tssltd:10е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 158).
+Рисунок 9 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
+На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).
-Рисунок 158 – Положение вкладки «Действие» и опции «Accept»
+{{ :tssltd:11е.png |}}
-Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
+Рисунок 10 – Положение вкладки «Действие» и опции «Accept»
-После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 159).
-Аналогичным образом необходимо создать правило фильтрации для протокола ssh – протокол TCP, сетевой порт назначения 22.
+Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 11). Аналогичным образом необходимо создать правило фильтрации для протокола ssh – протокол TCP, сетевой порт назначения 22.
-Рисунок 159 – Сохранение правил фильтрации
-После задания разрешающих правил фильтрации необходимо создать запрещающее правило фильтрации для остального трафика.
-Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 160).
-Рисунок 160 – Положение вкладки «Действие»
+{{ :tssltd:12е.png |}}
-После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 161).
+Рисунок 11 – Сохранение правил фильтрации
+После задания разрешающих правил фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 12). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 13).
-Рисунок 161 – Сохранение правил фильтрации
+{{ :tssltd:13е.png |}}
+Рисунок 12 – Положение вкладки «Действие»
+{{ :tssltd:14е.png |}}
+Рисунок 13 – Сохранение правил фильтрации
 Данный набор правил фильтрации разрешает сетевой трафик по протоколу https, ssh с рабочего места администратора с ip-адресом 192.168.1.7/32 к устройству МКСЗ Diamond VPN/FW с ip-адресом 192.168.1.1 и запрещает сетевой трафик к устройству МКСЗ Diamond VPN/FW от всех остальных рабочих мест.
-.4.2. Фильтрация защищенного соединения
-При создании защищенного соединения одно устройство МКСЗ Diamond VPN/FW работает в режиме сервера и прослушивает сетевой порт на заданном сетевом интерфейсе. Второе устройство МКСЗ Diamond VPN/FW работает в режиме клиента инициализирует соединение на заданный адрес и сетевой порт (см. рисунок 162).
+==== Фильтрация защищенного соединения ====
+При создании защищенного соединения одно устройство МКСЗ Diamond VPN/FW работает в режиме сервера и прослушивает сетевой порт на заданном сетевом интерфейсе. Второе устройство МКСЗ Diamond VPN/FW работает в режиме клиента инициализирует соединение на заданный адрес и сетевой порт (см. рисунок 14).
-Рисунок 162 – Схема фильтрации защищенного соединения
+{{ :tssltd:15е.png |}}
+Рисунок 14 – Схема фильтрации защищенного соединения
 На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, установлен ip-адрес 192.168.1.1. На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме клиента, установлен ip-адрес 172.16.16.150/24. После установления защищенного соединения в логическом туннеле будет задана новая адресация. Для устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, для логического интерфейса будет задан ip-адрес 10.10.10.1/24. Для устройства, МКСЗ Diamond VPN/FW, которое работает в режиме клиента, для логического интерфейса будет задан ip-адрес 10.10.10.2/24.
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, которое работает в режиме сервера, будет настроено правило фильтрации, которое разрешает установление защищенного соединения от другого устройства МКСЗ Diamond VPN/FW и запрещает все новые соединения от других устройств.
 Устройство МКСЗ Diamond VPN/FW – сервер прослушивает ip-адрес 192.168.1.1/24 и сетевой порт 12968 для протокола UDP.
-Для создания разрешающего правила фильтрации для входящего соединения от устройства МКСЗ Diamond VPN/FW – клиент необходимо в главном меню выбрать пункт «Межсетевой экран». Для добавления правила необходимо выбрать цепочку «input» и нажать на кнопку «Добавить правило» (см. рисунок 163).
+Для создания разрешающего правила фильтрации для входящего соединения от устройства МКСЗ Diamond VPN/FW – клиент необходимо в главном меню выбрать пункт «Межсетевой экран». Для добавления правила необходимо выбрать цепочку «input» и нажать на кнопку «Добавить правило» (см. рисунок 15).
-Рисунок 163 – Создание разрешающего правила фильтрации для входящего соединения
+{{ :tssltd:saverule.png |}}
-В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес 192.168.1.1, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 164).
+Рисунок 15 – Создание разрешающего правила фильтрации для входящего соединения
+В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес 192.168.1.1, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 16).
-Рисунок 164 – Окно «Создание правила фильтрации»
+{{ :tssltd:17е.png |}}
-На вкладке «Протокол» в поле «Протокол» необходимо выбрать протокол UDP, в поле «Порт назначения» необходимо задать сетевой порт 12968 (см. рисунок 165).
+Рисунок 16 – Окно «Создание правила фильтрации»
+На вкладке «Протокол» в поле «Протокол» необходимо выбрать протокол UDP, в поле «Порт назначения» необходимо задать сетевой порт 12968 (см. рисунок 17).
-Рисунок 165 – Настройка вкладки «Протокол»
+{{ :tssltd:18е.png |}}
-На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 166).
+Рисунок 17 – Настройка вкладки «Протокол»
+На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 18). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Accept» (см. рисунок 19). После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 20).
-Рисунок 166 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
+{{ :tssltd:19е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Accept» (см. рисунок 167).
+Рисунок 18 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
+{{ :tssltd:20е.png |}}
+Рисунок 19 – Положение вкладки «Действие»
-Рисунок 167 – Положение вкладки «Действие»
+{{ :tssltd:makerule.png |}}
-После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 168).
+Рисунок 20 – Сохранение настроек
-Рисунок 168 – Сохранение настроек
 Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
 После задания разрешающего правила фильтрации необходимо создать запрещающее правило фильтрации для остального трафика.
-Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 169).
+Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 21). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 22).
-Рисунок 169 – Положение вкладки «Действие»
+{{ :tssltd:22е.png |}}
-После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 170).
+Рисунок 21 – Положение вкладки «Действие»
-Рисунок 170 – Сохранение правил фильтрации
+{{ :tssltd:makerule2.png |}}
+Рисунок 22 – Сохранение правил фильтрации
 Данный набор правил фильтрации разрешает сетевой трафик по протоколу UDP на порт номер 12968 с устройства МКСЗ Diamond VPN/FW c ip-адресом 172.16.16.150/32 к устройству МКСЗ Diamond VPN/FW c ip-адресом 192.168.1.1/32 и запрещает весь сетевой трафик для остальных устройств.
-.4.3. Фильтрация по ip-адресу
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает весь трафик с устройства с ip-адресом 192.168.16.14/24 на устройство с ip-адресом 172.16.16.150/24 (см. рисунок  171).
+==== Фильтрация по ip-адресу ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает весь трафик с устройства с ip-адресом 192.168.16.14/24 на устройство с ip-адресом 172.16.16.150/24 (см. рисунок  23).
-Рисунок 171 – Схема фильтрации по ip-адресу
+{{ :tssltd:24е.png |}}
-Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 172 ).
+Рисунок 23 – Схема фильтрации по ip-адресу
+Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 24 ).
-Рисунок 172 – Создание правила фильтрации
+{{ :tssltd:25е.png |}}
-Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «IP» в поле «Адрес источника» необходимо задать ip-адрес источника сетевого трафик 192.168.16.14, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес назначения сетевого трафика 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 173).
+Рисунок 24 – Создание правила фильтрации
-Рисунок 173 – Окно «Создание правила фильтрации»
+Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «IP» в поле «Адрес источника» необходимо задать ip-адрес источника сетевого трафик 192.168.16.14, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес назначения сетевого трафика 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 25). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 26).
-На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 174).
+{{ :tssltd:26е.png |}}
+Рисунок 25 – Окно «Создание правила фильтрации»
-Рисунок 174 – Положение вкладки «Действие»
+{{ :tssltd:27е.png |}}
-Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
+Рисунок 26 – Положение вкладки «Действие»
-После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 175).
+Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 27).
-Рисунок 175 – Сохранение правил фильтрации
+{{ :tssltd:28е.png |}}
+Рисунок 27 – Сохранение правил фильтрации
 Данное правило фильтрации запрещает весь сетевой трафик с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
-.4.4. Фильтрация протокола UDP
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено запрещающее правило фильтрации для протокола UDP (см. рисунок 176).
+==== Фильтрация протокола UDP ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено запрещающее правило фильтрации для протокола UDP (см. рисунок 28).
-Рисунок 176 – Схема фильтрации по протоколу UDP
+{{ :tssltd:29е.png |}}
-Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 177).
+Рисунок 28 – Схема фильтрации по протоколу UDP
+Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 29).
-Рисунок 177 – Создание правил фильтрации
+{{ :tssltd:30е.png |}}
-Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол UDP (см. рисунок 178). При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола UDP доступны следующие опции: сетевой порт источника и сетевой порт назначения.
+Рисунок 29 – Создание правил фильтрации
+Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол UDP (см. рисунок 30). При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола UDP доступны следующие опции: сетевой порт источника и сетевой порт назначения. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 31). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации» (см. рисунок 32). После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Данное правило фильтрации запрещает сетевой трафик по протоколу UDP.
-Рисунок 178 – Добавление правил фильтрации
+{{ :tssltd:31е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 179).
+Рисунок 30 – Добавление правил фильтрации
-Рисунок 179 – Положение поля «Действие»
+{{ :tssltd:32е.png |}}
-Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации» (см. рисунок 180).
+Рисунок 31 – Положение поля «Действие»
-После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
-Рисунок 180 – Сохранение правил фильтрации
+{{ :tssltd:33е.png |}}
-Данное правило фильтрации запрещает сетевой трафик по протоколу UDP.
+Рисунок 32 – Сохранение правил фильтрации
-.4.5. Фильтрация протокола TCP
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP с порта 18654 на порт 4415 с установленным битом syn с устройства с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 (см. рисунок 181).
+==== Фильтрация протокола TCP ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP с порта 18654 на порт 4415 с установленным битом syn с устройства с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 (см. рисунок 33).
-Рисунок 181 – Схема фильтрации по протоколу TCP
+{{ :tssltd:34е.png |}}
-Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 182).
+Рисунок 33 – Схема фильтрации по протоколу TCP
+Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 34).
-Рисунок 182 – Создание правила фильтрации
+{{ :tssltd:35е.png |}}
-Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт источника» необходимо задать порт 18654, в поле «Порт назначения» необходимо задать 4415 порт, в поле «Флаги» необходимо установить флаг «syn» . При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола TCP доступны следующие опции: сетевой порт источника и сетевой порт назначения (см. рисунок 183).
+Рисунок 34 – Создание правила фильтрации
+Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт источника» необходимо задать порт 18654, в поле «Порт назначения» необходимо задать 4415 порт, в поле «Флаги» необходимо установить флаг «syn» . При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола TCP доступны следующие опции: сетевой порт источника и сетевой порт назначения (см. рисунок 35). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 36). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
+После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 37).
-Рисунок 183 –
+{{ :tssltd:36е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 184).
+Рисунок 35 – Выбор типа протокола
+{{ :tssltd:37е.png |}}
+Рисунок 36 – Положение вкладки «Действие»
-Рисунок 184 – Положение вкладки «Действие»
+{{ :tssltd:38е.png |}}
-Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
+Рисунок 37 – Сохранение правила фильтрации
-После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 185).
-Рисунок 185 – Сохранение правила фильтрации
 Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
-.4.6. Фильтрация по расписанию.
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP на порт 80 с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 c 9 до 18 часов по будням (см. рисунок 186).
+==== Фильтрация по расписанию. ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP на порт 80 с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 c 9 до 18 часов по будням (см. рисунок 38).
-Рисунок 186 – Схема фильтрации по расписанию
+{{ :tssltd:39е.png |}}
-Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 187).
+Рисунок 38 – Схема фильтрации по расписанию
+Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 39).
-Рисунок 187 – Создание правила фильтрации
+{{ :tssltd:40е.png |}}
-Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт назначения» необходимо задать 80 порт. На вкладке «Расписание» необходимо создать расписание для правила фильтрации. Для создания расписание необходимо нажать на кнопку «Добавить расписание» (см. рисунок 188).
+Рисунок 39 – Создание правила фильтрации
+Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт назначения» необходимо задать 80 порт. На вкладке «Расписание» необходимо создать расписание для правила фильтрации. Для создания расписание необходимо нажать на кнопку «Добавить расписание» (см. рисунок 40).
-Рисунок 188 – Положение вкладки «Расписание» и кнопки «Добавить расписание»
+{{ :tssltd:41е.png |}}
-В новом окне необходимо установить флаг «Часы диапазон», в поле «Часы» необходимо задать время работы правила фильтрации и задать дни недели (см. рисунок 189).
+Рисунок 40 – Положение вкладки «Расписание» и кнопки «Добавить расписание»
+В новом окне необходимо установить флаг «Часы диапазон», в поле «Часы» необходимо задать время работы правила фильтрации и задать дни недели (см. рисунок 41). После задания расписания его можно изменить или удалить с помощью дополнительных кнопок «Обновить расписание» и «Удалить расписание» (см. рисунок 42). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 43).
-Рисунок 189 – Настройка расписания
+{{ :tssltd:42е.png |}}
-После задания расписания его можно изменить или удалить с помощью дополнительных кнопок «Обновить расписание» и «Удалить расписание» (см. рисунок 190).
+Рисунок 41 – Настройка расписания
-Рисунок 190 – Вкладка «Расписание»
+{{ :tssltd:43е.png |}}
-На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 191).
+Рисунок 42 – Вкладка «Расписание»
-Рисунок 191 – Положение вкладки «Действие»
+{{ :tssltd:44е.png |}}
+Рисунок 43 – Положение вкладки «Действие»
 Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
-После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 192).
+После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 44). Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
-Рисунок 192 – Сохранение правила фильтрации
-Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
-.4.7. Логирование правил фильтрации
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415. Весь остальной сетевой трафик необходимо заблокировать с помощью запрещающего правила фильтрации с включенной опцией логирования (см. рисунок 193).
-Рисунок 193 – Схема логирование правила фильтрации
+{{ :tssltd:45е.png |}}
-Необходимо самостоятельно создать разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415 в цепочке для транзитного трафика. Для создания запрещающего правила фильтрации с опцией логирования необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» и нажать на кнопку «Добавить правило» (см. рисунок 194).
+Рисунок 44 – Сохранение правила фильтрации
+==== Логирование правил фильтрации ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415. Весь остальной сетевой трафик необходимо заблокировать с помощью запрещающего правила фильтрации с включенной опцией логирования (см. рисунок 45).
-Рисунок 194 – Создание правила фильтрации
+{{ :tssltd:46е.png |}}
-В новом окне на вкладе «Действие» необходимо установить флаг «Логирование правила фильтрации», в поле «Префикс» необходимо задать префикс, который будет закреплен за данным правилом, в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 195).
+Рисунок 45 – Схема логирование правила фильтрации
+Необходимо самостоятельно создать разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415 в цепочке для транзитного трафика. Для создания запрещающего правила фильтрации с опцией логирования необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» и нажать на кнопку «Добавить правило» (см. рисунок 46). В новом окне на вкладе «Действие» необходимо установить флаг «Логирование правила фильтрации», в поле «Префикс» необходимо задать префикс, который будет закреплен за данным правилом, в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 47).  Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 48).
-Рисунок 195 – Положение вкладки «Действие» и кнопки «Логирование правила фильтрации»
+{{ :tssltd:47е.png |}}
- Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 196).
+Рисунок 46 – Создание правила фильтрации
-Рисунок 196 – Сохранение правила фильтрации
+{{ :tssltd:48е.png |}}
+Рисунок 47 – Положение вкладки «Действие» и кнопки «Логирование правила фильтрации»
+{{ :tssltd:49е.png |}}
+Рисунок 48 – Сохранение правила фильтрации
 Данное правило фильтрации разрешает сетевой трафик для протокола TCP с порта 18654 на порт 4415 и запрещает весь остальной трафик. При срабатывании запрещающего правила фильтрации устройство регистрирует все сетевые пакеты в журнале событий.
-Для просмотра журнала событий для межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана» (см. рисунок 197).
+Для просмотра журнала событий для межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана» (см. рисунок 49).
-Рисунок 197 – Просмотр «Журнала событий»
+{{ :tssltd:50е.png |}}
-.4.8. Фильтрация на уровне L2 в таблице Bridge
+Рисунок 49 – Просмотр «Журнала событий»
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным (см. рисунок 198).
+==== Фильтрация на уровне L2 в таблице Bridge ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным (см. рисунок 50).
-Рисунок 198 – Схема фильтрации на уровне L2
+{{ :tssltd:51е.png |}}
-Для создания правила фильтрации на уровне L2 стандартной сетевой модели необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 199).
+Рисунок 50 – Схема фильтрации на уровне L2
+Для создания правила фильтрации на уровне L2 стандартной сетевой модели необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 51).
-Рисунок 199 – Положение кнопки «Добавить таблицу»
+{{ :tssltd:52е.png |}}
-В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 200).
+Рисунок 51 – Положение кнопки «Добавить таблицу»
+В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 52).
-Рисунок 200 – Окно «Добавить таблицу»
+{{ :tssltd:53е.png |}}
-Далее необходимо выбрать новую таблицу «bridge»  и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 201).
+Рисунок 52 – Окно «Добавить таблицу»
+Далее необходимо выбрать новую таблицу «bridge»  и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 53).
-Рисунок 201 – Кнопка «Добавить цепочку»
+{{ :tssltd:54е.png |}}
-В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 202).
+Рисунок 53 – Кнопка «Добавить цепочку»
+В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 54).
-Рисунок 202 – Окно добавить цепочку
+{{ :tssltd:55е.png |}}
-После создания цепочки с типом «forward» необходимо создать правила фильтрации. Для создания правила фильтрации необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 203).
+Рисунок 54 – Окно добавить цепочку
+После создания цепочки с типом «forward» необходимо создать правила фильтрации. Для создания правила фильтрации необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 55).
-Рисунок 203 – Создание правил фильтрации
+{{ :tssltd:56е.png |}}
-В новом окне необходимо задать параметры фильтрации и нажать на кнопку «ОК». Для примера, создано запрещающее правило фильтрации для протокола ICMP (см. рисунок 204).
+Рисунок 55 – Создание правил фильтрации
+В новом окне необходимо задать параметры фильтрации и нажать на кнопку «ОК». Для примера, создано запрещающее правило фильтрации для протокола ICMP (см. рисунок 56). Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».
+{{ :tssltd:57е.png |}}
+Рисунок 56 – Сохранение правила фильтрации
+==== Фильтрация на основе VLAN ID ====
+С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для поля VLAN ID для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным. По сценарию разрешен сетевой трафик с метками VLAN ID 17/58/113 и запрещен трафик с метками VLAN ID 24/230 (см. рисунок 57).
-Рисунок 204 – Сохранение правила фильтрации
+{{ :tssltd:58е.png |}}
-Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».
+Рисунок 57 – Схема фильтрации по меткам VLAN ID
-.4.9. Фильтрация на основе VLAN ID
-С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для поля VLAN ID для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным. По сценарию разрешен сетевой трафик с метками VLAN ID 17/58/113 и запрещен трафик с метками VLAN ID 24/230 (см. рисунок 205).
+Для создания правила фильтрации для метки VLAN ID необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 58).
-Рисунок 205 – Схема фильтрации по меткам VLAN ID
+{{ :tssltd:59е.png |}}
-	Для создания правила фильтрации для метки VLAN ID необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 206).
+Рисунок 58 – Положение кнопки «Добавить таблицу»
+В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 59).
-Рисунок 206 – Положение кнопки «Добавить таблицу»
+{{ :tssltd:60е.png |}}
-В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 207).
+Рисунок 59 – Окно «Добавить таблицу»
+Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 60).
-Рисунок 207 – Окно «Добавить таблицу»
+{{ :tssltd:61е.png |}}
-Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 208).
+Рисунок 60 – Положение кнопки «Добавить цепочку »
+В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 61).
-Рисунок 208 – Положение кнопки «Добавить цепочку »
+{{ :tssltd:62е.png |}}
-В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 209).
+Рисунок 61 – Окно «Добавить цепочку»
+После создания цепочки с типом «forward» необходимо создать правила фильтрации для метки VLAN ID. Для создания запрещающего правила фильтрации для метки VLAN ID 24 и 230 необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 62). В новом окне на вкладке «IEEE 802.1Q» в поле «Номер VLAN» необходимо задать номер VLAN ID 24 (см. рисунок 63). На вкладке «Действие» в поле «Действие» необходимо задать «Drop» (см. рисунок 64). После задания параметров фильтрации необходимо нажать на кнопку «ОК». Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 65).
-Рисунок 209 – Окно «Добавить цепочку»
+{{ :tssltd:63е.png |}}
-После создания цепочки с типом «forward» необходимо создать правила фильтрации для метки VLAN ID. Для создания запрещающего правила фильтрации для метки VLAN ID 24 и 230 необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 210).
+Рисунок 62 – Создание правила фильтрации
+{{ :tssltd:64е.png |}}
+Рисунок 63 – Положение вкладки «IEEE 802.1Q»
+{{ :tssltd:65е.png |}}
+Рисунок 64– Положение вкладки «Действие»
-Рисунок 210 – Создание правила фильтрации
+{{ :tssltd:66е.png |}}
-В новом окне на вкладке «IEEE 802.1Q» в поле «Номер VLAN» необходимо задать номер VLAN ID 24 (см. рисунок 211).
+Рисунок 65 – Сохранение правила фильтрации
-Рисунок 211 – Положение вкладки «IEEE 802.1Q»
+Аналогичным образом необходимо создать запрещающее правило фильтрации для метки VLAN ID 230 и разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113 (см. рисунок 66).
-На вкладке «Действие» в поле «Действие» необходимо задать «Drop» (см. рисунок 212).
+{{ :tssltd:67е.png |}}
-Рисунок 212 – Положение вкладки «Действие»
+Рисунок 66 – Разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113
-После задания параметров фильтрации необходимо нажать на кнопку «ОК». Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 213).
+==== Сохранение и загрузка правил из файла ====
-Рисунок 213 – Сохранение правила фильтрации
-Аналогичным образом необходимо создать запрещающее правило фильтрации для метки VLAN ID 230 и разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113 (см. рисунок 214).
+Diamond VPN/FW позволяет сохранить конфиг правил межсетевого экрана. Сделать это можно с помощью команды:
+nft -s list ruleset >> /etc/nftables.conf
-Рисунок 214 – Разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113
+Эти правила межсетевого экрана сохранятся в файл nftables.conf
+{{:tssltd:снимок_экрана_2023-05-25_150706.png?direct |}}
+Также есть возможность загрузить правила из файла с помощью команды:
+nft -f /etc/nftables.conf
+{{:tssltd:снимок_экрана_2023-05-25_150820.png?direct |}}