This is an old revision of the document!
Table of Contents
Настройка межсетевого экранирования на уровне L3
Сетевые пакеты, которые проходят через устройство МКСЗ «Diamond VPN/FW», обрабатываются межсетевым экраном. Правила фильтрации находятся в трех цепочках правил фильтрации: цепочка «input», цепочка «forward» и цепочка «output». В цепочку «input» попадают сетевые пакеты, в которых в поле ip-адрес пункта назначения указан ip-адрес одного из сетевых интерфейсов устройства МКСЗ «Diamond VPN/FW». В цепочку «output» попадают сетевые пакеты, в которых в поле ip-адрес источника указан ip-адрес одного из сетевых интерфейсов устройства МКСЗ «Diamond VPN/FW». В цепочку «forward» попадают сетевые пакеты, в которых в поле ip-адрес источника и ip-адрес назначения указаны ip-адреса, которые не принадлежат ни одному из сетевых интерфейсов устройства МКСЗ «Diamond VPN/FW». Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила – таблицы/цепочки» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1).
Рисунок 1 – Положение кнопки «Добавить правило»
В новом окне «Создание правила фильтрации» (см. рисунок 2) необходимо задать параметры для фильтра и нажать на кнопку «ОК».Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Рисунок 2 – Создание правила фильтрации
Рисунок 3 – Положение кнопки «Сохранить»
Настройка фильтрации по сетевому интерфейсу
Для создания правила фильтрации по сетевому интерфейсу необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт меню «Мета» (см. рисунок 4). В поле «Входящий интерфейс» или «Исходящий интерфейс» необходимо задать один из сетевых интерфейсов.
Рисунок 4 – Пункт меню «Мета»
В окне «Создание правила фильтрации» необходимо выбрать пункт меню «Действие» (см. рисунок 5) и в поле «Действие» необходимо задать один из доступных вариантов действий. Для подтверждения выбора необходимо нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Рисунок 5 – Положение пункта меню «Действие»
Настройка фильтрации по общей длине сетевого пакета
Для создания правила фильтрации по общей длине сетевого пакета необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Мета». В поле «Общая длина пакета» (см. рисунок 6) необходимо задать общую длину пакета с учетом всех заголовков.
Рисунок 6 – Положение поля «Общая длинна пакета»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» (см. рисунок 5) и в поле «Действие» необходимо задать один из доступных вариантов и нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по физическому адресу (MAC адрес)
Для создания правила фильтрации по физическому адресу (MAC адрес) необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Ethernet». В поле «Физический адрес источника» или «Физический адрес назначения» необходимо задать физический адрес устройства (см. рисунок 7).
Рисунок 7 – Положение пункта меню «Ethernet» и заполняемых полей
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов и нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по типу протокола канального уровня
Для создания правила фильтрации по типу протокола канального уровня необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт меню «Ethernet». В поле «Тип протокола» необходимо выбрать тип протокола канального уровня(см. рисунок 8).
Рисунок 8 – Пункт меню «Ethernet» и поле «Тип протокола»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов (Accept, Drop или Reject). Для подтверждения выбора необходимо нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3). В поле «Тип протокола» (см. рисунок 7) можно выбрать наиболее распространенные протоколы: arp, rarp, ip, ipv6, vlan и lacp. Если нужного типа протокола нет в списке, то необходимо в поле «Тип протокола» выбрать пункт «other» и задать тип протокола в шестнадцатеричном формате. Перечень доступных протоколов представлен в таблице 1. Таблица 1 – Перечень доступных протоколов
| Номер протокола | Название протокола |
| 0x0800 | Internet Protocol version 4 (IPv4) |
| 0x0806 | Address Resolution Protocol (ARP) |
| 0x0842 | Wake-on-LAN |
| 0x22F3 | IETF TRILL Protocol |
| 0x22EA | Stream Reservation Protocol |
| 0x6003 | DECnet Phase IV |
| 0x8035 | Reverse Address Resolution Protocol |
| 0x809B | AppleTalk (Ethertalk) |
| 0x80F3 | AppleTalk Address Resolution Protocol (AARP) |
| 0x8100 | VLAN-tagged frame (IEEE 802.1Q) and Shortest Path Bridging IEEE 802.1aq with NNI compatibility |
| 0x8137 | IPX |
| 0x8204 | QNX Qnet |
| 0x86DD | Internet Protocol Version 6 (IPv6) |
| 0x8808 | Ethernet flow control |
| 0x8809 | Ethernet Slow Protocols |
| 0x8819 | CobraNet |
| 0x8847 | MPLS unicast |
| 0x8848 | MPLS multicast |
| 0x8863 | PPPoE Discovery Stage |
| 0x8864 | PPPoE Session Stage |
| 0x886D | Intel Advanced Networking Services |
| 0x8870 | Jumbo Frames (Obsoleted draft-ietf-isis-ext-eth-01) |
| 0x887B | HomePlug 1.0 MME |
| 0x888E | EAP over LAN (IEEE 802.1X) |
| 0x8892 | PROFINET Protocol |
| 0x889A | HyperSCSI (SCSI over Ethernet) |
| 0x88A2 | ATA over Ethernet |
| 0x88A4 | EtherCAT Protocol |
| 0x88A8 | Provider Bridging (IEEE 802.1ad) & Shortest Path Bridging IEEE 802.1aq |
| 0x88AB | Ethernet Powerlink |
| 0x88B8 | GOOSE (Generic Object Oriented Substation event) |
| 0x88B9 | GSE (Generic Substation Events) Management Services |
| 0x88BA | SV (Sampled Value Transmission) |
| 0x88CC | Link Layer Discovery Protocol (LLDP) |
| 0x88CD | SERCOS III |
| 0x88DC | WSMP, WAVE Short Message Protocol |
| 0x88E1 | HomePlug AV MME |
| 0x88E3 | Media Redundancy Protocol (IEC62439-2) |
| 0x88E5 | MAC security (IEEE 802.1AE) |
| 0x88E7 | Provider Backbone Bridges (PBB) (IEEE 802.1ah) |
| 0x88F7 | Precision Time Protocol (PTP) over Ethernet (IEEE 1588) |
| 0x88F8 | NC-SI |
| 0x88FB | Parallel Redundancy Protocol (PRP) |
| 0x8902 | IEEE 802.1ag Connectivity Fault Management (CFM) Protocol / ITU-T Recommendation Y.1731 (OAM) |
| 0x8906 | Fibre Channel over Ethernet (FCoE) |
| 0x8914 | FCoE Initialization Protocol |
| 0x8915 | RDMA over Converged Ethernet (RoCE) |
| 0x891D | TTEthernet Protocol Control Frame (TTE) |
| 0x892F | High-availability Seamless Redundancy (HSR) |
| 0x9000 | Ethernet Configuration Testing Protocol |
| 0x9100 | VLAN-tagged (IEEE 802.1Q) frame with double tagging |
Настройка фильтрации по полю CoS (Class of Service)
Для создания правила фильтрации по полю CoS (Class of Service) необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт меню «Ethernet». В поле «Тип протокола» необходимо выбрать тип протокола «vlan» (см. рисунок 9).
Рисунок 9 – Положение пункта меню «Ethernet» и поля «Тип протокола»
В окне «Создание правила фильтрации» необходимо выбрать пункт меню «IEEE 802.1Q» и в поле «Приоритет» необходимо выбрать одно из значений приоритета CoS (Class of Service).
Рисунок 10 – Положение пункта меню «IEEE 802.1Q» и поля «Приоритет»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка Фильтрации по метке VLAN ID
Для создания правила фильтрации по метке «VLAN ID» необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Ethernet». В поле «Тип протокола» необходимо выбрать тип протокола «vlan» (см. рисунок 7). В окне «Создание правила фильтрации» необходимо выбрать пункт меню «IEEE 802.1Q» и в поле «Номер VLAN» необходимо задать номер VLAN ID.
Рисунок 11 – Пункт меню «IEEE 802.1Q» и поле «Номер VLAN»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов и нажать на кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по ip-адресу источника
Для создания правила фильтрации по ip-адресу источника необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Адрес источника» необходимо задать ip-адрес источника. В поле «Маска подсети» необходимо задать маску подсети (см. рисунок 12).
Рисунок 12 – Пункт меню «IP» и заполняемые поля
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 13) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК».Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 14).
Рисунок 13 – Выбор действия
Рисунок 14 – Положение кнопки «Сохранить» для сохранения созданного правила
Настройка фильтрации по ip-адресу назначения
Для создания правила фильтрации по ip-адресу назначения необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Адрес назначения» необходимо задать ip-адрес назначения. В поле «Маска подсети» необходимо задать маску подсети (см. рисунок 15).
Рисунок 15 – Пункт меню «IP» и заполняемые поля для правила фильтрации по адресу назначения
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по метке DSCP
Для создания правила фильтрации по метке DSCP необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт меню «IP». В поле «Метка DSCP» необходимо выбрать одно из значения метки (см. рисунок 16).
Рисунок 16 – Пункт меню «IP» и положение поля «Метка DSCP»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по биту ECN
Для создания правила фильтрации по биту ECN необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Бит ECN» необходимо выбрать одно из значения бита ECN (см. рисунок 17).
Рисунок 17 – Пункт меню «IP» и положение поля «Бит ECN»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по полю длина пакета (Packet Length)
Для создания правила фильтрации по полю длина пакета (Packet Length) необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Длина пакета» необходимо задать длину сетевого пакета без учета заголовка второго уровня (см. рисунок 18).
Рисунок 18 – Положение пункта меню «IP» и положение поля «Длина пакетов от № по №»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по полю время жизни пакета (TTL)
Для создания правила фильтрации по полю время жизни пакета (TTL) необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Время жизни пакета (TTL)» необходимо задать время жизни пакета (см. рисунок 19).
Рисунок 19 – Пункт меню «IP» и положение поля «Время жизни пакета (TTL) от № по №»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по биту фрагментации
Для создания правила фильтрации по биту фрагментации необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «IP». В поле «Установки бита фрагментации» необходимо задать флаг фрагментация запрещена или фрагментация разрешена (см. рисунок 20).
Рисунок 20 – Пункт меню «IP» и положение полей «Установлен бит Фрагментация запрещена», «Установлен бит Фрагментация разрешена»
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по протоколу TCP
Для создания правила фильтрации по протоколу TCP необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт меню «Протокол». В поле «Протокол» необходимо выбрать транспортный протокол TCP. В поле «Порт источника» необходимо задать диапазон сетевых портов источника. В поле «Порт назначения» необходимо задать диапазон сетевых портов назначения. В поле «Флаги» необходимо задать флаг протокола TCP (см. рисунок 21).
Рисунок 21 – Пункт меню «Протокол» и заполняемые поля
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по протоколу UDP
Для создания правила фильтрации по протоколу UDP необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Протокол». В поле «Протокол» необходимо выбрать транспортный протокол UDP. В поле «Порт источника» необходимо задать диапазон сетевых портов источника. В поле «Порт назначения» необходимо задать диапазон сетевых портов назначения (см. рисунок 22).
Рисунок 22 – Пункт меню «Протокол» и поля для ввода параметров
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по протоколу ICMP
Для создания правила фильтрации по протоколу ICMP необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Протокол». В поле «Протокол» необходимо выбрать протокол ICMP. В поле «ICMP тип» необходимо выбрать тип сообщения. В поле «ICMP код» необходимо задать код сообщения (см. рисунок 23).
Рисунок 23 – Пункт меню «Протокол» и заполняемые поля
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации протоколов, инкапсулируемых в IP
Для создания правила фильтрации по протоколу, инкапсулируемому в IP, необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Протокол». В поле «Протокол» необходимо выбрать «Другой протокол». В поле «ID протокола» задать ID номер протокола, инкапсулируемого в IP (см. рисунок 24).
Рисунок 24 – Пункт меню «Протокол» и заполняемые поля
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации по типу соединения
Для создания правила фильтрации по типу соединения, необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Отслеживание соединений» и установить флаг с типом соединения: новое соединение, установленное соединение или связанное соединение (см. рисунок 25).
Рисунок 25 – Пункт меню «Отслеживание соединений» и положение полей «Новое соединение», «Установленное соединение» и «Связанное соединение».
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).
Настройка фильтрации произвольных данных
Для создания правила фильтрации по произвольным данным, необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо выбрать цепочку правил фильтрации и нажать на кнопку «Добавить правило» (см. рисунок 1). В новом окне «Создание правила фильтрации» необходимо выбрать пункт «Произвольные данные». В поле «Номер байта» необходимо задать адрес начала поиска в байтах. В поле «Маска подсети» необходимо задать маску для поиска произвольных данных. В поле «Операция» необходимо выбрать одну из доступных операций. В поле «Результат» необходимо задать результат операции (см. рисунок 26).
Рисунок 26 – Пункт меню «Произвольные данные» и заполняемые поля
В окне «Создание правила фильтрации» необходимо выбрать пункт «Действие» и в поле «Действие» (см. рисунок 5) необходимо задать один из доступных вариантов. Для подтверждения выбора необходимо нажать кнопку «ОК». Для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 3).