¶ Фильтрация доступа к устройству по протоколу https и ssh
На рисунке представлена схема сети, на которой устройство МКСЗ Diamond VPN/FW, администратор сети и пользователи находятся в одном сегменте. Необходимо ограничить доступ к устройству МКСЗ Diamond VPN/FW по протоколу https и ssh для всех пользователей, кроме администратора.
Для настройки правила фильтрации для входящего и исходящего трафика необходимо добавить разрешающее правило для системного интерфейса «l0». Для настройки правила фильтрации для системного интерфейса «l0» необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило».
В новом окне «Создание правила фильтрации» на вкладке «Мета» в поле «Входящий интерфейс» необходимо задать системный интерфейс «l0».
На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept».
После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
После создания правила фильтрации для системного интерфейса необходимо создать правило фильтрации для протокола https. Для настройки правила фильтрации для протокола https или ssh необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило».
В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес «192.168.1.7» в поле «маска подсети» необходимо задать маску подсети «255.255.255.255», в поле «Адрес назначения» необходимо задать ip-адрес «192.168.1.1», в поле «маска подсети» задать маску подсети «255.255.255.255».
На вкладке «Протокол» в поле «Протокол» необходимо задать протокол «TCP», в поле «Порт назначения» необходимо задать порт номер 443 для протокола https.
На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение». На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept».
На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept».
Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Аналогичным образом необходимо создать правило фильтрации для протокола ssh – протокол TCP, сетевой порт назначения 22.
После задания разрешающих правил фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
Данный набор правил фильтрации разрешает сетевой трафик по протоколу https, ssh с рабочего места администратора с ip-адресом 192.168.1.7/32 к устройству МКСЗ Diamond VPN/FW с ip-адресом 192.168.1.1 и запрещает сетевой трафик к устройству МКСЗ Diamond VPN/FW от всех остальных рабочих мест.
¶ Фильтрация защищенного соединения
При создании защищенного соединения одно устройство МКСЗ Diamond VPN/FW работает в режиме сервера и прослушивает сетевой порт на заданном сетевом интерфейсе. Второе устройство МКСЗ Diamond VPN/FW работает в режиме клиента инициализирует соединение на заданный адрес и сетевой порт.
На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, установлен ip-адрес 192.168.1.1. На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме клиента, установлен ip-адрес 172.16.16.150/24. После установления защищенного соединения в логическом туннеле будет задана новая адресация. Для устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, для логического интерфейса будет задан ip-адрес 10.10.10.1/24. Для устройства МКСЗ Diamond VPN/FW, которое работает в режиме клиента, для логического интерфейса будет задан ip-адрес 10.10.10.2/24. С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, которое работает в режиме сервера, будет настроено правило фильтрации, которое разрешает установление защищенного соединения от другого устройства МКСЗ Diamond VPN/FW и запрещает все новые соединения от других устройств. Устройство МКСЗ Diamond VPN/FW – сервер прослушивает ip-адрес 192.168.1.1/24 и сетевой порт 12968 для протокола UDP. Для создания разрешающего правила фильтрации для входящего соединения от устройства МКСЗ Diamond VPN/FW – клиент необходимо в главном меню выбрать пункт «Межсетевой экран». Для добавления правила необходимо выбрать цепочку «input» и нажать на кнопку «Добавить правило».
В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес 192.168.1.1, в поле маска подсети необходимо задать маску подсети 255.255.255.255.
На вкладке «Протокол» в поле «Протокол» необходимо выбрать протокол UDP, в поле «Порт назначения» необходимо задать сетевой порт 12968.
На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Accept». После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения настроек необходимо нажать на кнопку «Сохранить».
Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания разрешающего правила фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
Данный набор правил фильтрации разрешает сетевой трафик по протоколу UDP на порт номер 12968 с устройства МКСЗ Diamond VPN/FW c ip-адресом 172.16.16.150/32 к устройству МКСЗ Diamond VPN/FW c ip-адресом 192.168.1.1/32 и запрещает весь сетевой трафик для остальных устройств.
¶ Фильтрация по ip-адресу
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает весь трафик с устройства с ip-адресом 192.168.16.14/24 на устройство с ip-адресом 172.16.16.150/24.
Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward».
Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «IP» в поле «Адрес источника» необходимо задать ip-адрес источника сетевого трафик 192.168.16.14, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес назначения сетевого трафика 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop».
Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
Данное правило фильтрации запрещает весь сетевой трафик с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
¶ Фильтрация протокола UDP
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено запрещающее правило фильтрации для протокола UDP.
Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward».
Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол UDP. При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола UDP доступны следующие опции: сетевой порт источника и сетевой порт назначения. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop». Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Данное правило фильтрации запрещает сетевой трафик по протоколу UDP.
¶ Фильтрация протокола TCP
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP с порта 18654 на порт 4415 с установленным битом syn с устройства с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24.
Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward».
Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт источника» необходимо задать порт 18654, в поле «Порт назначения» необходимо задать 4415 порт, в поле «Флаги» необходимо установить флаг «syn» . При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола TCP доступны следующие опции: сетевой порт источника и сетевой порт назначения. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop». Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
¶ Фильтрация по расписанию.
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации, которое запрещает трафик для протокола TCP на порт 80 с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 c 9 до 18 часов по будням.
Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward».
Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт назначения» необходимо задать 80 порт. На вкладке «Расписание» необходимо создать расписание для правила фильтрации. Для создания расписание необходимо нажать на кнопку «Добавить расписание».
В новом окне необходимо установить флаг «Часы диапазон», в поле «Часы» необходимо задать время работы правила фильтрации и задать дни недели. После задания расписания его можно изменить или удалить с помощью дополнительных кнопок «Обновить расписание» и «Удалить расписание. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop».
Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
¶ Логирование правил фильтрации
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415. Весь остальной сетевой трафик необходимо заблокировать с помощью запрещающего правила фильтрации с включенной опцией логирования.
Необходимо самостоятельно создать разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415 в цепочке для транзитного трафика. Для создания запрещающего правила фильтрации с опцией логирования необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» и нажать на кнопку «Добавить правило». В новом окне на вкладе «Действие» необходимо установить флаг «Логирование правила фильтрации», в поле «Префикс» необходимо задать префикс, который будет закреплен за данным правилом, в поле «Действие» необходимо выбрать действие «Drop». Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить».
Данное правило фильтрации разрешает сетевой трафик для протокола TCP с порта 18654 на порт 4415 и запрещает весь остальной трафик. При срабатывании запрещающего правила фильтрации устройство регистрирует все сетевые пакеты в журнале событий. Для просмотра журнала событий для межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана».
¶ Фильтрация на уровне L2 в таблице Bridge
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным.
Для создания правила фильтрации на уровне L2 стандартной сетевой модели необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу».
В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge».
Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку».
В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК».
После создания цепочки с типом «forward» необходимо создать правила фильтрации. Для создания правила фильтрации необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило».
В новом окне необходимо задать параметры фильтрации и нажать на кнопку «ОК». Для примера, создано запрещающее правило фильтрации для протокола ICMP. Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».
¶ Фильтрация на основе VLAN ID
С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для поля VLAN ID для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным. По сценарию разрешен сетевой трафик с метками VLAN ID 17/58/113 и запрещен трафик с метками VLAN ID 24/230.
Для создания правила фильтрации для метки VLAN ID необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу».
В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge».
Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку».
В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК».
После создания цепочки с типом «forward» необходимо создать правила фильтрации для метки VLAN ID. Для создания запрещающего правила фильтрации для метки VLAN ID 24 и 230 необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило». В новом окне на вкладке «IEEE 802.1Q» в поле «Номер VLAN» необходимо задать номер VLAN ID 24. На вкладке «Действие» в поле «Действие» необходимо задать «Drop». После задания параметров фильтрации необходимо нажать на кнопку «ОК». Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».
Аналогичным образом необходимо создать запрещающее правило фильтрации для метки VLAN ID 230 и разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113.
¶ Сохранение и загрузка правил из файла
Diamond VPN/FW позволяет сохранить конфиг правил межсетевого экрана. Сделать это можно с помощью команды: nft -s list ruleset » /etc/nftables.conf Эти правила межсетевого экрана сохранятся в файл nftables.conf
Также есть возможность загрузить правила из файла с помощью команды: nft -f /etc/nftables.conf
