Product SiteDocumentation Site

12.2.2. Настройка блокировки сети

Теперь добавьте ограничение на создание TCP‑соединений. Блокировка будет настраиваться с помощью ещё одного сервиса — межсетевого экрана (firewall‑а) nftables. Проверка TCP‑соединения будет осуществляться с помощью SSH‑соединения с @company на @client.
  1. С помощью команды ssh <dstIP> убедитесь в доступности SSH‑соединения с company на client 
    [root@company ~]# ssh 10.0.12.1
The authenticity of host '10.0.12.1 (10.0.12.1)' can't be established.
ED25519 key fingerprint is SHA256:BxaYoHAW5ddfM6EwmgSAZ2tKXCH0zoppLfEcQ8YiGdg.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.12.1' (ED25519) to the list of known hosts.
Last login: Sun Oct 19 13:19:43 2025
[root@client ~]#
<^D>logout
Connection to 10.0.12.1 closed.
[root@company ~]#
  2. С помощью команды systemctl enable --now nftables.service запустите сервис поддержки сетевого экрана на network.
  3. С помощью команды nft add rule inet filter forward ip protocol tcp reject установите блокировку TCP‑соединений в сети 
    [root@network ~]# systemctl enable --now nftables.service
Created symlink '/etc/systemd/system/multi-user.target.wants/nftables.service' -> '/usr/lib/systemd/system/nftables.service'.
[root@network ~]# nft add rule inet filter forward ip protocol tcp reject
[root@network ~]#
  4. С помощью команды ssh <dstIP> убедитесь в недоступности SSH‑соединения с company на client 
    [root@company ~]# ssh 10.0.12.1
ssh: connect to host 10.0.12.1 port 22: Connection refused
[root@company ~]#
    Соединение стало невозможным (при этом заметьте, что ping идти не перестал, поскольку ICMP‑пакеты не устанавливают TCP‑соединение между абонентами).

    Примечание

    Ограничение TCP‑соединения настраивается в лабораторной, так как сетевой трафик кроме полезной нагрузки несёт управляющую информацию, например: данные о состоянии абонентов, каналов, служебные сообщения и т.д. Для корректной передачи этих данных часто используется именно TCP‑соединение, гарантирующее надёжность передачи. Во избежание передачи не регламентированных служебных данных некоторые маршруты в сети могут быть закрыты для несанкционированных TCP‑соединений. При этом передача UDP‑пакетов по этим каналам не ограничивается.
    Поскольку большинство протоколов туннелирования и VPN‑протоколов подразумевают обмен именно UDP‑пакетами, таким образом они решают проблему обхода блокировок такого типа, позволяя передавать данные по маршрутам, не доступным для TCP‑соединений.