Tabel firewall (FORWARD, DNAT, INPUT и SNAT)

Aturan dalam tabel diprioritaskan dari atas ke bawah (artinya, aturan teratas diutamakan daripada aturan bawah). Kebijakan defaultnya adalah IZINKAN. Jika tidak ada aturan penolakan yang dibuat, semua port dan protokol untuk pengguna akan diizinkan.

Kami tidak menyarankan membuat aturan FORWARD dan INPUT yang melarang semua lalu lintas, karena masalah mungkin timbul di masa mendatang saat menyiapkan aturan yang mengizinkan.

Jika aturan tersebut tetap dibuat, Anda harus:

  • Buat aturan yang mengizinkan lalu lintas dari pengguna;

  • Buat aturan yang mengizinkan Lalu lintas perangkat keluar.

Jika tidak, lalu lintas HTTP/HTTPS klien akan diblokir.

Untuk memudahkan pengelolaan aturan di antarmuka, aturan tersebut dibagi menjadi empat tabel: FORWARD, DNAT, INPUT, dan SNAT.

FORWARD

Aturan dalam tabel ini berlaku untuk lalu lintas yang lewat antar zona server, yaitu Internet dan jaringan lokal, serta antar jaringan lokal. Ini adalah tabel utama di mana aturan dapat ditambahkan untuk membatasi lalu lintas pengguna.

DNAT (penerusan porta)

Aturan dalam tabel ini digunakan untuk meneruskan port secara langsung dari zona luar ke sumber daya tertentu di zona dalam. Aturan seperti ini sering disebut aturan penerusan port (port-mapping).

INPUT

Tabel aturan lalu lintas masuk ke zona server. Biasanya, ini adalah lalu lintas untuk layanan server (misalnya, server email).

SNAT

Tabel aturan pengguna untuk mengelola terjemahan alamat jaringan. Untuk mengaktifkan SNAT otomatis jaringan lokal, pindahkan opsi yang sesuai ke posisi diaktifkan. Aturan SNAT khusus lebih diutamakan daripada SNAT LAN otomatis.

Membuat Aturan

Untuk membuat aturan pada tabel yang diinginkan, klik tombol Tambah di sudut kiri atas layar.

Jika di baris Protokol Anda memilih parameter Apa pun dari daftar, aturan tersebut akan berlaku untuk semua lalu lintas.

Saat membuat aturan untuk memfilter lalu lintas web dari jaringan lokal (80, 443 port TCP), agar aturan berfungsi sepenuhnya, bidang Source Zone harus menentukan objek Any. Jika objek lain ditentukan, aturan tidak akan memproses lalu lintas web.

Deskripsi parameter dan tindakan saat membuat aturan

  • Protokol - protokol transfer data (UDP/TCP/ICMP/GRE/ESP/AH, atau Apa Pun).

Sumber

  • Balikkan sumber - memungkinkan Anda menggunakan semua objek dalam aturan kecuali yang dipilih di baris Sumber;

  • Sumber - Alamat IP sumber lalu lintas (src) yang melewati gateway. Bidang ini dapat berisi alamat IP, rentang alamat IP, jaringan, domain (bagian Objek), negara atau pengguna dan grup (saat mengubah alamat IP mereka, firewall akan secara otomatis mempertimbangkan hal ini);

  • Zona sumber - antarmuka atau grup antarmuka asal lalu lintas. Anda dapat memilih jenis Antarmuka Jaringan, zona yang dibuat pengguna atau Khusus:

  • Antarmuka eksternal - semua antarmuka yang digunakan untuk terhubung ke Internet;

  • Antarmuka Ethernet eksternal - semua antarmuka Ethernet yang digunakan untuk terhubung ke Internet;

  • Antarmuka VPN eksternal - semua antarmuka VPN eksternal (PPTP, L2TP) yang digunakan untuk terhubung ke Internet;

  • Antarmuka IPsec - semua antarmuka IPsec yang digunakan untuk koneksi situs-ke-situs ke kantor jarak jauh;

  • Antarmuka lokal - semua antarmuka yang digunakan untuk terhubung ke klien di jaringan lokal;

  • Lalu lintas perangkat keluar - digunakan untuk memfilter lalu lintas keluar dari perangkat Ideco NGFW itu sendiri;

  • Lalu lintas VPN klien - digunakan untuk memfilter lalu lintas yang datang dari klien yang terhubung ke NGFW melalui VPN;

  • Apa saja - jangan memfilter lalu lintas berdasarkan jenis antarmuka atau zona apa pun.

Tujuan

  • Balikkan tugas - memungkinkan Anda menggunakan semua objek dalam aturan kecuali yang dipilih di baris Tugas;

  • Tujuan - bidang ini dapat menunjukkan alamat IP, rentang alamat IP, jaringan, domain (bagian Objek), negara atau pengguna dan grup (saat mengubah alamat IP mereka, firewall akan secara otomatis mengambil ini dengan mempertimbangkan);

  • Zona tujuan - antarmuka atau grup antarmuka tempat lalu lintas berada. Anda dapat memilih Antarmuka Jaringan individual, zona yang dibuat pengguna, atau jenis Kustom;

  • Port tujuan - ditentukan saat membuat aturan dengan protokol TCP/UDP. Ini bisa berupa port tunggal, daftar port, atau serangkaian port yang ditentukan di Objek;

  • Ubah alamat IP tujuan - saat menentukan rentang alamat, paket akan dialihkan ke salah satu alamat tersebut.

Tindakan

  • Deny - melarang lalu lintas;

  • Izinkan - mengizinkan lalu lintas;

  • DNAT - menerjemahkan alamat tujuan, sehingga memungkinkan lalu lintas masuk dialihkan. Di bawah kolom Ubah alamat IP tujuan Anda dapat menentukan satu atau rentang alamat IP (jika Anda menentukan rentang alamat IP, paket akan dialihkan ke salah satu alamat tersebut). Demikian pula, jika protokol TCP atau UDP ditentukan saat membuat aturan, bidang Ubah port tujuan akan muncul. Dengan menggunakan fitur ini, Anda dapat secara transparan mengarahkan lalu lintas masuk ke alamat atau port lain;

  • Jangan melakukan DNAT - membatalkan DNAT untuk lalu lintas yang memenuhi kriteria aturan;

  • SNAT - menerjemahkan alamat sumber;

  • Jangan lakukan SNAT - membatalkan tindakan SNAT untuk lalu lintas yang memenuhi kriteria aturan.

Selain itu

  • Waktu validitas - durasi aturan. Tentukan interval waktu (misalnya, jam kerja), yang ditentukan di Objek;

  • Komentar - teks bebas yang menjelaskan tujuan aturan. Nilainya tidak boleh lebih dari 255 karakter.

Contoh

Mengonfigurasi aturan firewall untuk koneksi IPsec

Untuk mengonfigurasi aturan firewall untuk koneksi IPsec, pilih koneksi IPsec yang dikonfigurasi di bidang Zona Sumber atau Zona Tujuan.

Pemblokiran massal alamat IP dan jaringan

1. Anda perlu membuat daftar pemblokiran dalam file teks:

  • Nama file harus manual_blocklist.txt;

  • Hanya satu alamat IP atau satu jaringan yang harus ditunjukkan dalam satu baris;

  • Format penulisan alamat IP: 1.2.3.4;

  • Format penulisan jaringan: 1.2.3.0/24.

2. Pindahkan file manual\_blocklist.txt ke direktori /var/opt/ideco/firewall-backend/

3. Di terminal TKMTRM NGFW, jalankan perintah ideco-apply-manual-blocklist

Setelah TKMTRM NGFW di-boot ulang, alamat IP dan jaringan dari file tersebut akan diblokir secara otomatis (tidak perlu lagi menjalankan perintah ideco-apply-manual-blocklist). Saat memperbarui TKMTRM NGFW, daftar blokir akan dipertahankan.

Jika Anda ingin menambahkan alamat ke daftar blokir, Anda harus menambahkan alamat ke file /var/opt/ideco/firewall-backend/manual\_blocklist.txt dan jalankan perintah ideco-apply-manual-blocklist lagi .

Untuk menghapus alamat dari daftar yang diblokir, hapus alamat yang diperlukan dari file /var/opt/ideco/firewall-backend/manual\_blocklist.txt dan jalankan perintah ideco-apply-manual-blocklist

PreviousFirewallNextPencatatan

Last updated