Настройка правил брандмауэра Pfsense
Обновлено: 21.11.2024
Теперь, когда вы настроили менеджер паролей, вы можете перейти к настройке сетевого брандмауэра. Вы должны оставаться на рабочей станции администратора, чтобы получить доступ к веб-интерфейсу сетевого брандмауэра для настройки.
К сожалению, из-за большого разнообразия брандмауэров, которые могут использоваться, мы не предоставляем конкретных инструкций, охватывающих каждый тип или вариант программного или аппаратного обеспечения. Однако, если у вас есть необходимые знания, мы предоставляем абстрактные правила брандмауэра, которые можно реализовать с помощью iptables, Cisco IOS и т. д. Мы рекомендуем использовать брандмауэр как минимум с тремя физическими интерфейсами. Вам потребуется как минимум 4 порта. Если ваш брандмауэр с 3 сетевыми картами не имеет внутреннего коммутатора хотя бы для одного из его интерфейсов, вам потребуется внешний коммутатор для завершения установки.
Приведенная ниже документация описывает процедуру настройки брандмауэров на основе pfSense и OPNSense. Один из вариантов, не описанных в этом руководстве, — создать собственный сетевой брандмауэр и установить на нем pfSense или OPNSense. Однако для большинства установок мы рекомендуем приобрести специальный брандмауэр с предустановленной операционной системой брандмауэра.
В настоящее время в нашем Руководстве по оборудованию мы рекомендуем два брандмауэра:
Netgate SG-3100, брандмауэр на основе pfSense с 3 сетевыми интерфейсами и 6 портами: WAN, OPT1, LAN1, LAN2, LAN3 и LAN4. Этот брандмауэр поставляется с внутренним переключателем на интерфейсе LAN.
TekLager APU4D4, аппаратный брандмауэр с открытым исходным кодом на основе OPNSense с 4 сетевыми интерфейсами: WAN, LAN, OPT1 и OPT2.
Конфигурация: pfSense¶
Если вы используете брандмауэр на основе pfSense, такой как рекомендуемый SG-3100, следуйте инструкциям по настройке брандмауэра pfSense для использования с SecureDrop .
Конфигурация: OPNSense¶
Если вы используете брандмауэр на основе OPNSense, например рекомендуемый APu4D4, следуйте инструкциям по настройке брандмауэра OPNSense для использования с SecureDrop .
Конфигурация: другие брандмауэры¶
Если вы используете брандмауэр на основе ОС, не указанной выше, вам все равно следует настроить его с использованием той же общей конфигурации и набора правил, которые определены для поддерживаемых моделей.
Серверы приложений и Серверы монитора должны быть настроены в отдельных подсетях, настроенных на отдельных физических сетевых адаптерах, а Рабочая станция администратора также находится на отдельном подсеть, если возможно. Включая соединение WAN, должно быть доступно как минимум 3 сетевых адаптера. Если доступно только 3, рабочая станция администратора может иметь общую подсеть с сервером приложений.
Абстрактный набор правил, требуемый SecureDrop, можно описать следующим образом:
Отключить DHCP (если брандмауэр по умолчанию предоставляет DHCP-сервер)
Запретить весь трафик по умолчанию (входящий или исходящий)
Разрешить UDP OSSEC (порт 1514) с сервера приложений на сервер мониторинга
Разрешить аутентификацию агента TCP ossec (порт 1515) с сервера приложений на сервер мониторинга
Разрешить TCP/UDP DNS от сервера приложений и сервера мониторинга к IP-адресам известных серверов имен
Разрешить UDP NTP от сервера приложений и сервера мониторинга ко всем
Разрешить TCP любой порт от Сервера приложений и Сервера монитора ко всем (это необходимо для подключения к сети Tor)
Разрешить TCP 80/443 с Рабочей станции администратора для всех (в случае необходимости доступа к веб-интерфейсу брандмауэра)
Разрешить TCP SSH с рабочей станции администратора на сервер приложений и сервер мониторинга
Разрешить TCP любой порт с рабочей станции администратора на все
Это можно реализовать с помощью iptables, Cisco IOS и т. д., если у вас есть необходимые знания.
При настройке правил брандмауэра в веб-интерфейсе pfSense® в разделе «Брандмауэр» > «Правила» доступно множество параметров для управления сопоставлением и контролем трафика. Все эти параметры перечислены в этом разделе.
Действие¶
Этот параметр указывает, будет ли правило пропускать, блокировать или отклонять трафик.
Пакет, соответствующий этому правилу, будет пропущен через брандмауэр. Если для правила включено отслеживание состояния, создается запись в таблице состояний, которая разрешает обратное прохождение связанного обратного трафика. Дополнительную информацию см. в разделе «Фильтрация с отслеживанием состояния».
Пакет, соответствующий этому правилу, будет отброшен.
Пакет, соответствующий этому правилу, будет отброшен, а для поддерживаемых протоколов обратно отправителю будет отправлено сообщение о том, что соединение было отклонено.
Подробнее о параметрах и помощи в выборе между блокировкой и отклонением см. в разделе "Блокировка или отклонение".
Отключено¶
Чтобы отключить правило, не удаляя его из списка правил, установите этот флажок. Оно по-прежнему будет отображаться на экране правил брандмауэра, но правило будет выделено серым цветом, что указывает на его отключенное состояние.
Интерфейс¶
В раскрывающемся списке Интерфейс указан интерфейс, принимающий трафик, который будет контролироваться этим правилом. Помните, что в правилах вкладок интерфейса и группы трафик фильтруется только на интерфейсе, где трафик инициируется. Трафик, инициированный из локальной сети в Интернет или любой другой интерфейс брандмауэра, фильтруется набором правил LAN.
Версия TCP/IP¶
Указывает, что правило должно применяться к трафику IPv4, IPv6 или к обоим трафикам IPv4+IPv6. Правила будут соответствовать и действовать только в отношении пакетов, соответствующих правильному протоколу. Можно использовать псевдонимы, которые содержат оба типа IP-адресов, и правило будет соответствовать только адресам из правильного протокола.
Протокол¶
Протокол, которому будет соответствовать это правило. Большинство этих опций говорят сами за себя. TCP/UDP будет соответствовать трафику TCP и UDP. Если указать ICMP, появится дополнительный раскрывающийся список для выбора типа ICMP. Также доступны несколько других распространенных протоколов.
По умолчанию в этом поле для нового правила установлено значение TCP, поскольку это обычное значение по умолчанию, и оно будет отображать ожидаемые поля для этого протокола. Чтобы правило применялось к любому протоколу, измените это поле на любой. Одной из наиболее распространенных ошибок при создании новых правил является случайное создание правила TCP, после чего невозможно передать другой не-TCP-трафик, такой как ping, DNS и т. д.
Тип ICMP¶
Если в качестве протокола выбран ICMP, это раскрывающееся меню содержит все возможные типы ICMP для соответствия. При передаче ICMP рекомендуется передавать только требуемые типы, когда это возможно. Наиболее распространенный вариант использования — передать только тип эхо-запроса, который позволит пройти эхо-запрос ICMP.
Исторически ICMP имеет плохую репутацию, но в целом он полезен и не заслуживает такой репутации в современных сетях. Разрешение типа ICMP any обычно допустимо при разрешении ICMP.
Источник¶
В этом поле указывается исходный IP-адрес, подсеть или псевдоним, которые будут соответствовать этому правилу.
Раскрывающийся список для источника позволяет использовать несколько различных предопределенных типов источников:
Соответствует любому адресу.
Один хост или псевдоним
Соответствует одному IP-адресу или псевдониму. Когда этот параметр активен, псевдоним может быть введен в поле исходного адреса.
Использует как IP-адрес, так и маску подсети для соответствия диапазону адресов.
Макрос, который будет сопоставлять трафик из диапазона адресов клиента для сервера PPPoE, если сервер PPPoE включен.
Макрос, который будет сопоставлять трафик из диапазона адресов клиента для сервера L2TP, если сервер L2TP включен.
Запись в этом списке присутствует для каждого интерфейса брандмауэра. Эти макросы точно определяют подсеть для этого интерфейса, включая все псевдонимы IP-подсетей VIP, которые отличаются от определенной подсети интерфейса.
Запись в этом списке присутствует для каждого интерфейса брандмауэра. Эти макросы указывают IP-адрес, настроенный на этом интерфейсе.
Выбор WAN Net для источника или назначения означает только подсеть интерфейса WAN. Это не означает «Интернет» или какой-либо удаленный узел.
Для правил, соответствующих TCP и/или UDP, исходный порт также можно указать, нажав кнопку «Показать дополнительные». Исходный порт скрыт за кнопкой Display Advanced, потому что обычно исходный порт должен оставаться установленным на любой, так как соединения TCP и UDP исходят из случайного порта в эфемерном диапазоне портов (от 1024 до 65535, точный используемый диапазон зависит от ОС и версии ОС, которая инициирует подключение). Исходный порт почти никогда не совпадает с портом назначения, и его никогда не следует настраивать как таковой, если только известно, что используемое приложение не использует это нетипичное поведение. Также безопасно определить исходный порт в диапазоне от 1024 до 65535 .
При выборе параметра "Инвертировать соответствие" совпадение будет отменено, и правило будет применяться ко всему трафику, кроме этого исходного значения.
Пункт назначения¶
В этом поле указывается целевой IP-адрес, подсеть или псевдоним, которые будут соответствовать этому правилу. Дополнительные сведения см. в описании параметра «Источник» в разделе «Источник». Есть только один дополнительный макрос:
Этот брандмауэр (собственный)
Соответствует всем IP-адресам на всех интерфейсах брандмауэра.
Для правил, указывающих TCP и/или UDP, здесь также указывается порт назначения, диапазон портов или псевдоним. В отличие от источника, настройка порта назначения требуется во многих случаях, так как это более безопасно, чем использование any, и обычно порт назначения будет известен заранее на основе протокола. Многие распространенные значения портов доступны в раскрывающихся списках или выберите (другое), чтобы ввести значение вручную или использовать псевдоним порта.
Чтобы указать непрерывный диапазон портов, введите меньшее значение порта в разделе "От" и большее значение порта в разделе "Кому".
Это поле определяет, будут ли пакеты, соответствующие этому правилу, регистрироваться в журнале брандмауэра. Ведение журнала более подробно обсуждается в разделе Практика ведения журнала .
Описание¶
Введите здесь описание для справки. Это необязательно и не влияет на функциональность правила. Лучше всего ввести текст, описывающий назначение правила. Максимальная длина – 52 символа.
Дополнительные параметры¶
Параметры, которые вряд ли потребуются или функциональные возможности которых сбивают с толку новых пользователей, были спрятаны в этом разделе страницы. Нажмите «Показать дополнительные», чтобы отобразить все дополнительные параметры. Если параметр в этом разделе страницы был установлен, то он появится при загрузке правила в будущем.
Исходная ОС¶
Одной из наиболее уникальных особенностей pf и, следовательно, pfSense является возможность фильтрации по операционной системе, инициирующей соединение. Для правил TCP pf включает пассивное снятие отпечатков пальцев операционной системы («p0f»), что позволяет сопоставлять правила на основе операционной системы, инициирующей соединение TCP. Функция p0f в pf определяет используемую ОС путем сравнения характеристик TCP SYN-пакета, который инициирует TCP-соединения, с файлом отпечатков пальцев. Обратите внимание, что можно изменить отпечаток операционной системы, чтобы она выглядела как другая ОС, особенно в операционных системах с открытым исходным кодом, таких как BSD и Linux. Это непросто, но если в сети есть технически подкованные пользователи с правами администратора или корневого доступа к системам, это возможно.
Код Diffserv¶
Кодовая точка дифференцированных услуг позволяет приложениям указать в пакетах, как они предпочитают, чтобы маршрутизаторы обрабатывали их трафик при его пересылке по пути. Чаще всего это используется для обеспечения качества обслуживания или формирования трафика. Длинное имя часто сокращается до Diffserv Code Point или сокращается до DSCP и иногда упоминается как поле TOS.
Программа или устройство, генерирующие пакеты, например Asterisk с помощью параметров конфигурации tos_sip и tos_audio, установит поле DSCP в пакетах, после чего брандмауэр и другие промежуточные маршрутизаторы должны сопоставить их и поставить в очередь или действовать в соответствии с ними. пакеты.
Чтобы сопоставить эти параметры в брандмауэре, используйте запись раскрывающегося списка Diffserv Code Point, которая соответствует значению, установленному исходным устройством. Существует множество опций, каждая из которых имеет особое значение, зависящее от типа трафика. Дополнительные сведения о том, какие значения должны сопоставляться, см. в документации к устройству, инициирующему трафик.
Недостаток DSCP заключается в том, что он предполагает, что маршрутизаторы поддерживают или действуют в поле, что может быть, а может и не быть. Различные маршрутизаторы могут обрабатывать одно и то же значение DSCP непреднамеренно или несовпадающими способами. Что еще хуже, некоторые маршрутизаторы полностью очищают поле DSCP в пакетах при их пересылке. Кроме того, поскольку pf соответствует трафику, значение DSCP должно быть установлено для первого пакета соединения, создающего состояние, поскольку после создания состояния каждый пакет не проверяется отдельно.
Этот параметр считывает и сопоставляет только значение DSCP. Он не устанавливает значение в пакетах.
Параметры IP¶
Установка этого флажка позволит пропускать пакеты с определенными параметрами IP. По умолчанию pf блокирует все пакеты с установленными параметрами IP, чтобы, помимо прочего, предотвратить снятие отпечатков пальцев ОС. Установите этот флажок, чтобы пропускать IGMP или другой многоадресный трафик, содержащий параметры IP.
Отключить ответ на запрос¶
Брандмауэр по умолчанию добавляет ключевое слово «ответить» в правила для интерфейсов типа WAN, чтобы гарантировать, что трафик, входящий в глобальную сеть, также будет выходить через эту же глобальную сеть. В некоторых случаях такое поведение нежелательно, например, когда некоторый трафик направляется через отдельный брандмауэр/маршрутизатор на интерфейсе WAN. В этих случаях установите этот флажок, чтобы отключить ответ только для трафика, соответствующего этому правилу, а не отключать ответ глобально.
Теги и теги¶
Поля Tag и Tagged полезны в сочетании с плавающими правилами, поэтому брандмауэр может помечать пакет определенной строкой, когда он входит в интерфейс, а затем действовать по-разному с соответствующим пакетом на выходе с помощью плавающего правила. Дополнительную информацию по этой теме см. в разделе Маркировка и сопоставление.
Максимальное количество записей состояний, которые может создать это правило¶
Эта опция ограничивает максимальное общее количество подключений, которое может быть разрешено этим правилом. Если больше подключений соответствует этому правилу, пока оно находится на пределе подключений, это правило будет пропущено при оценке правила. Если более позднее правило соответствует, к трафику применяется действие этого правила, в противном случае он попадает в правило отказа по умолчанию.Как только количество подключений, разрешенных этим правилом, упадет ниже этого ограничения, трафик снова сможет соответствовать этому правилу.
Максимальное количество уникальных исходных хостов¶
Этот параметр указывает, сколько всего исходных IP-адресов может одновременно подключаться для этого правила. Для каждого исходного IP-адреса разрешено неограниченное количество подключений, но общее разрешенное количество различных исходных IP-адресов ограничено этим значением.
Максимальное количество установленных соединений на хост¶
Используйте этот параметр, чтобы ограничить доступ на основе подключений на хост. Это значение может ограничить правило определенным количеством подключений на хост-источник (например, 10), а не определенным глобальным общим количеством подключений. Этот параметр определяет, сколько полностью установленных (завершенных рукопожатий) соединений разрешено на хост, которые соответствуют правилу. Этот параметр доступен только для TCP-соединений.
Максимальное количество записей состояния на хост¶
Эта настройка работает аналогично установленному счетчику выше, но проверяет только записи состояния, а не отслеживает успешное подключение.
Максимальное количество новых подключений в секунду¶
Этот метод ограничения скорости помогает гарантировать, что высокая скорость соединения TCP не приведет к перегрузке сервера или таблицы состояний на брандмауэре. Например, могут быть установлены ограничения на входящие соединения с почтовым сервером, что снижает вероятность перегрузки спам-ботами. Его также можно использовать в правилах исходящего трафика, чтобы установить ограничения, которые не позволят какой-либо отдельной машине загружать таблицу состояний на брандмауэре или устанавливать слишком много быстрых подключений, что характерно для вирусов. Количество соединений и количество секунд для периода времени могут быть настроены для правила. Любой IP-адрес, превышающий указанное количество подключений в течение заданного периода времени, будет заблокирован брандмауэром на один час. За кулисами это обрабатывается таблицей virusprot, названной в честь ее типичного назначения защиты от вирусов. Этот параметр доступен только для TCP-соединений.
Укажите время ожидания в секундах¶
С помощью этого поля можно определить тайм-аут состояния для трафика, соответствующего этому правилу, переопределяя тайм-аут состояния по умолчанию. Любые неактивные соединения будут закрыты, если соединение не используется в течение этого времени. Время ожидания состояния по умолчанию зависит от используемого алгоритма оптимизации брандмауэра. Варианты оптимизации описаны в разделе «Параметры оптимизации брандмауэра»
Этот параметр контролирует только входящий трафик, поэтому сам по себе он не очень полезен. Исходящий трафик для соответствующего подключения по-прежнему будет иметь тайм-аут состояния по умолчанию. Для правильного использования этого параметра необходимо также соответствующее плавающее правило для исходящего пути, используемого трафиком, с аналогичной настройкой тайм-аута состояния.
Флаги TCP¶
По умолчанию новые правила прохождения для TCP проверяют только установленный флаг TCP SYN из возможного набора SYN и ACK. Для учета более сложных сценариев, таких как работа с асимметричной маршрутизацией или другими нетрадиционными сочетаниями потоков трафика, используйте этот набор элементов управления, чтобы изменить способ сопоставления флагов правилом брандмауэра.
Первая строка определяет, какие флаги должны быть установлены для соответствия правилу. Вторая строка определяет список флагов, которые будут использоваться в пакете для поиска соответствия.
Синхронизировать порядковые номера. Указывает на новую попытку подключения.
Указывает на подтверждение данных. Эти ответы сообщают отправителю, что данные получены успешно.
Указывает, что данных от отправителя больше нет, и соединение закрывается.
Сброс соединения. Этот флаг устанавливается при ответе на запрос на открытие соединения через порт, на котором нет слушающего демона. Программное обеспечение брандмауэра также может настроить блокировку нежелательных подключений.
Указывает, что данные должны быть отправлены или сброшены, включая данные в этом пакете, путем передачи данных в приложение.
Указывает, что поле срочности важно, и этот пакет должен быть отправлен перед данными, которые не являются срочными.
Чтобы разрешить TCP с установленными любыми флагами, установите флажок Любые флаги.
Тип состояния¶
Есть три варианта отслеживания состояния в pfSense, которые можно указать для каждого правила:
Если выбрано, брандмауэр создаст и будет поддерживать запись в таблице состояний для разрешенного трафика. Это значение по умолчанию и лучший выбор в большинстве ситуаций.
Sloppy — это менее строгий способ сохранения состояния, предназначенный для сценариев с асимметричной маршрутизацией. Когда брандмауэр может видеть только половину трафика соединения, проверки правильности сохранения состояния по умолчанию не пройдут, и трафик будет заблокирован. Механизмы в pf, предотвращающие определенные виды атак, не сработают во время небрежной проверки состояния.
Этот параметр заставляет pfSense использовать прокси для входящих TCP-соединений. Соединения TCP начинаются с трехэтапного рукопожатия.Первый пакет TCP-соединения — это SYN от источника, который вызывает ответ SYN ACK от получателя, а затем ACK в ответ от источника для завершения рукопожатия. Обычно хост за брандмауэром справится с этим самостоятельно, но в состоянии синпрокси вместо этого брандмауэр завершает это рукопожатие. Это помогает защититься от одного типа атак типа «отказ в обслуживании» — SYN-флудов. Обычно это используется только с правилами на интерфейсах WAN. Сегодня с этим типом атаки лучше всего справляться на уровне целевой ОС, поскольку каждая современная операционная система имеет собственные возможности для обработки этого. Поскольку брандмауэр не может знать, какие расширения TCP поддерживает внутренний хост, при использовании состояния синпрокси он объявляет о поддерживаемых расширениях TCP. Это означает, что соединения, созданные с использованием состояния synproxy, не будут использовать масштабирование окна, SACK или временные метки, что в большинстве случаев приведет к значительному снижению производительности. Это может быть полезно при открытии TCP-портов для хостов, которые плохо справляются со злоупотреблениями в сети, где максимальная производительность не является проблемой.
Эта опция не будет сохранять состояние этого правила. Это необходимо только в некоторых узкоспециализированных расширенных сценариях, ни один из которых не рассматривается в этой документации, поскольку они встречаются крайне редко.
Настройка Нет здесь влияет только на трафик во входящем направлении, поэтому сама по себе она не очень полезна, так как состояние все равно будет создаваться в исходящем направлении. Оно должно быть связано с плавающим правилом в исходящем направлении, для которого также выбран тот же параметр.
Без синхронизации XML-RPC¶
Установка этого флажка предотвращает синхронизацию этого правила с другими элементами кластера высокой доступности через XMLRPC. Это описано в High Availability. Это не предотвращает перезапись правила на вторичном узле первичным.
Приоритет VLAN (совпадение и установка)¶
802.1p, также известный как IEEE P802.1p или Priority Code Point, представляет собой способ сопоставления и маркировки пакетов с определенным приоритетом качества обслуживания. В отличие от DSCP, 802.1p работает на уровне 2 с виртуальными локальными сетями. Однако, как и DSCP, вышестоящий маршрутизатор также должен поддерживать 802.1p, чтобы он был полезен.
В этом разделе есть два варианта. Первый будет соответствовать полю 802.1p, чтобы брандмауэр мог с ним работать. Второй будет вставлять тег 802.1p в пакет, когда он проходит через этот брандмауэр. Некоторым интернет-провайдерам может потребоваться установка тега 802.1p в определенных регионах, например во Франции, для правильной обработки голоса/видео/данных в отдельных сетях VLAN с правильным приоритетом для обеспечения качества.
Правила брандмауэра — это одна из основных основ работы в сети. Это набор правил, которым будет следовать брандмауэр, когда данные проходят через брандмауэр. Брандмауэр может отклонять, блокировать или принимать данные в соответствии с правилами.
Веб-интерфейс пользователя pfSense упрощает и упрощает создание брандмауэров. В этом руководстве я покажу вам, как создавать и редактировать правила брандмауэра для вашего pfSense.
Чтобы правильно настроить правила брандмауэра, вам необходимо немного знать основы работы в сети.
Вкладка «Правила брандмауэра»
Вкладку «Правила брандмауэра» в pfSense можно найти, выбрав раскрывающийся список «Брандмауэр», а затем выбрав вкладку «Правила».
Вы увидите страницу правил брандмауэра для интерфейса WAN. Как видите, по умолчанию уже созданы два правила, которые блокируют частные и богонные сети на WAN-интерфейсе.
По умолчанию брандмауэр pfSense блокирует весь трафик, если это явно не разрешено правилом брандмауэра. На вкладке LAN есть правила разрешения по умолчанию, разрешающие трафику проходить через брандмауэр.
Плавающая вкладка предназначена для правил, которые могут влиять на несколько интерфейсов одновременно. Как правило, для обычного пользователя плавающие правила не нужны.
Вы можете переключаться между правилами брандмауэра интерфейса, нажимая на соответствующие вкладки интерфейса.
Добавление правил брандмауэра
Чтобы добавить правило брандмауэра, перейдите к интерфейсу, к которому вы хотите добавить правило брандмауэра, и нажмите кнопку "Добавить". Левая кнопка «Добавить» создаст правило брандмауэра вверху списка брандмауэров, а правая кнопка «Добавить» создаст правило брандмауэра на кнопке списка.
Заполнять поля довольно просто.
В поле «Действие» есть варианты «Пропустить», «Блокировать» или «Отклонить». Pass позволяет трафику проходить через интерфейс брандмауэра. Block автоматически отбрасывает поступающий трафик, предотвращая его прохождение через интерфейс брандмауэра. Отклонение также отбрасывает трафик, но отправителю отправляется ответ о том, что трафик отклонен.
В поле "Интерфейс" будут показаны все возможные интерфейсы, на которые можно поместить правило брандмауэра.
Семейство адресов может быть IPv4, IPv6 или IPv4+IPv6. В настоящее время большинство сетей по-прежнему используют IPv4, поэтому в большинстве случаев это будет более применимо.Вы всегда можете использовать по умолчанию IPv4+IPv6, чтобы охватить как трафик IPv4, так и IPv6.
Протокол — это тип протокола, который вы хотите передать/блокировать/отклонить. Как правило, чаще всего используются TCP или UDP.
Раздел «Источник» — это источник трафика.
Раздел "Назначение" – это место, куда направляется трафик.
Для любых правил брандмауэра всегда рекомендуется добавлять описание того, что они делают, чтобы вы могли быстро вернуться к ним.
Ниже приведен пример правила брандмауэра, которое я создал:
Нажмите "Сохранить", чтобы сохранить правило.
Правила не будут применяться, пока вы не нажмете кнопку "Применить изменения".
Чтобы понять, что делает правило, читайте правило слева направо. Зеленая галочка означает «Пройдено», а красный крестик означает «Блокировать». Звездочка означает Любой. Приведенный выше пример правила, который я создал, читается как блокировка ICMP-трафика IPv4 (ping) от источника с любым IP-адресом и любым портом к месту назначения этого брандмауэра на любом порту.
ПОРЯДОК ПРАВИЛ БРАНДМАУЭРА ОЧЕНЬ ВАЖЕН.
Порядок правил брандмауэра очень важен в pfSense. pfSense следует поведению первого совпадения при определении того, какое правило брандмауэра следует соблюдать и применять. Он будет обрабатывать правила сверху вниз и прекратит обработку дополнительных правил, как только будет найдено первое подходящее правило.
В приведенном выше примере мое только что созданное правило сохранено и применено в нижней части набора правил. Однако прямо над этим правилом находятся два правила Pass, которые пропускают весь сетевой трафик локальной сети в любое место назначения. Из-за этого любой пинг к брандмауэру будет разрешен благодаря двум правилам Pass, установленным перед правилом Block. Как вы можете видеть выше, мой тестовый клиент смог пропинговать брандмауэр, несмотря на установленное правило блокировки.
Изменить порядок брандмауэра так же просто, как перетащить правило вверх или вниз, а затем нажать "Сохранить".
После правильного порядка правил применяется правило блокировки, и весь трафик ICMP (ping) перенаправляется на брандмауэр, как показано ниже.
Для pfSense всегда располагайте наиболее строгие или наиболее конкретные правила брандмауэра вверху, а самые расслабляющие или наиболее строгие правила — внизу. Это позволит брандмауэру эффективно фильтровать входящий трафик в соответствии с вашим набором правил.
Удаление правила
Чтобы удалить правило, просто установите флажок рядом с правилом, нажмите "Удалить" и подтвердите OK.
Правила локальной сети определяют права доступа к интернет-сервисам из вашей локальной сети. Таким образом, если вы заблокируете порты 80 и 443, никто из вашей локальной сети не сможет получить доступ в Интернет.
Правила WAN определяют доступ к ресурсам в вашей локальной сети (или демилитаризованной зоне) из Интернета.
В этой короткой лабораторной работе мы будем определять правила локальной сети.
Допустим, мы хотим заблокировать доступ к порту 443 из нашей локальной сети.
Выберите Брандмауэр | Правила
Как видите, по умолчанию весь трафик из вашей локальной сети разрешен к Интернету.
Откроется новое окно с настройками:
Действие: Блокировать (поскольку я хочу заблокировать трафик наружу) | Интерфейс: ЛВС | Семейство адресов IPv4 |Протокол TCP
Дополнительные параметры: можно ввести описание и включить ведение журнала для правила | Сохранить
После того, как вы нажмете "Сохранить", вы вернетесь на главный экран правил LAN
Нажмите «Применить изменения».
Теперь перейдем к тестированию правил…
Я также протестировал порт FTP — результат тот же, поэтому мы можем сделать вывод, что это работает.
Разумной идеей было бы отключить правила РАЗРЕШИТЬ ВСЕ трафик по умолчанию. Вам следует удалить правила брандмауэра локальной сети по умолчанию, созданные pFSense, и определить только те порты, которые вы хотели бы использовать. Только так вы сможете блокировать нежелательный трафик и лучше контролировать свою локальную сеть-> WAN-трафик.
Вот моя конфигурация доступа в Интернет по умолчанию
Правило DNS ДОЛЖНО БЫТЬ РАЗРЕШЕНО, причем с обоими протоколами TCP/UDP, иначе ваши клиенты не смогут получить доступ в Интернет.
С помощью этого краткого руководства вы сможете успешно определить правила, которые либо позволят блокировать некоторый трафик из вашей сети, в этом примере мы рассмотрели блокировку, но если вы хотите что-то разрешить, процедура такая же, за исключением того, что вы выбираете разрешить вместо правила блокировки.
Читайте также: