52.2.4. Правила межсетевого экрана

⁠52.2.4. Правила межсетевого экрана

Правила межсетевого экрана состоят из направления (IN или OUT) и действия (ACCEPT, DENY, REJECT). Можно также указать имя макроса. Макросы содержат предопределенные наборы правил и параметров. Правила можно отключить, добавив к ним префикс |.

Синтаксис правил:

[RULES]

DIRECTION ACTION [OPTIONS]
|DIRECTION ACTION [OPTIONS] # отключенное правило

DIRECTION MACRO(ACTION) [OPTIONS] # использовать предопределенный макрос

Параметры, которые можно использовать для уточнения соответствия правил приведены в таблице Параметры файла конфигурации.

⁠

Таблица 52.4. Параметры файла конфигурации

Опция	Описание
--dest <string>	Ограничить адрес назначения пакета. Может быть указан одиночный IP-адрес, набор IP-адресов (+ipsetname) или псевдоним IP (alias). Можно указать диапазон адресов (например, 200.34.101.207-201.3.9.99) или список IP-адресов и сетей (записи разделяются запятой). Не следует смешивать адреса IPv4 и IPv6 в таких списках
--dport <string>	Ограничить порт назначения TCP/UDP. Можно использовать имена служб или простые числа (0-65535), как определено в `/etc/services`. Диапазоны портов можно указать с помощью \d+:\d+, например, 80:85. Для сопоставления нескольких портов или диапазонов можно использовать список, разделенный запятыми
--icmp-type <string>	Тип icmp. Действителен, только если proto равен icmp
--iface <string>	Сетевой интерфейс, к которому применяется правило. В правилах для ВМ и контейнеров необходимо указывать имена ключей конфигурации сети net\d+, например, net0. Правила, связанные с узлом, могут использовать произвольные строки
--log <alert \| crit \| debug \| emerg \| err \| info \| nolog \| notice \| warning>	Уровень журналирования для правила межсетевого экрана
--proto <string>	IP-протокол. Можно использовать названия протоколов (tcp/udp) или простые числа, как определено в `/etc/protocols`
--source <string>	Ограничить исходный адрес пакета. Может быть указан одиночный IP-адрес, набор IP-адресов (+ipsetname) или псевдоним IP (alias). Можно указать диапазон адресов (например, 200.34.101.207-201.3.9.99) или список IP-адресов и сетей (записи разделяются запятой). Не следует смешивать адреса IPv4 и IPv6 в таких списках
--sport <string>	Ограничить исходный порт TCP/UDP. Можно использовать имена служб или простые числа (0-65535), как определено в `/etc/services`. Диапазоны портов можно указать с помощью \d+:\d+, например, 80:85. Для сопоставления нескольких портов или диапазонов можно использовать список, разделенный запятыми

Примеры:

[RULES]
IN SSH(ACCEPT) -i net0
IN SSH(ACCEPT) -i net0 # a comment
IN SSH(ACCEPT) -i net0 -source 192.168.0.192 # разрешить SSH только из 192.168.0.192
IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # разрешить SSH для диапазона IP
IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 # разрешить SSH для списка IP-адресов
IN SSH(ACCEPT) -i net0 -source +mynetgroup # разрешить SSH для ipset mynetgroup
IN SSH(ACCEPT) -i net0 -source myserveralias # разрешить SSH для псевдонима myserveralias

|IN SSH(ACCEPT) -i net0 # отключенное правило

IN  DROP # отбросить все входящие пакеты
OUT ACCEPT # принять все исходящие пакеты

Для добавления правила в веб-интерфейсе необходимо перейти в раздел Сетевой экран (например, Центр обработки данных → Сетевой экран), нажать кнопку Добавить, в открывшемся окне задать параметры правила и нажать кнопку Добавить: