Автоматизация

Модуль автоматизации предоставляет API-доступ к правилам межсетевого экрана и Source NAT.

Обзор

Страницы фильтров автоматизации используют фреймворк MVC. Это означает, что модуль знает только о правилах, созданных внутри него. Любые правила фильтрации и NAT, созданные вне данного модуля, не будут собраны через его конечную точку API.

Модуль пользовательского интерфейса можно найти в разделе Межсетевой экран ‣ Автоматизация. Здесь отображается направление, где текущие страницы Межсетевой экран ‣ Правила будут, в конечном итоге, заменены компонентом автоматизации.

Фильтр трафика

Новые правила для межсетевого экрана создаются на странице Межсетевой экран ‣ Автоматизация ‣ Фильтр трафика.

Интерфейс пользователя

В верхней части страницы находятся инструмент для поиска в выдаче и фильтр для категорий с множественным выбором.

Фильтр категорий

Можно выбрать одну или несколько категорий для фильтрации текущего представления.

Категории можно создать в разделе Межсетевой экран ‣ Категории и затем группировать в различные логические конструкции.

Если создать категорию для почтовых серверов и пометить ею правила, то можно будет фильтровать по этому тегу и видеть только нужные данные.

Выбор одного или нескольких тегов добавит их в новое правило.

Доступные параметры для правила

включен	Активирует правило.
Последовательность	Порядок, в котором обрабатываются правила. Не является уникальным идентификатором - система автоматически пересчитает набор правил при изменении их позиций с помощью кнопки «Переместить правило перед этим правилом».
Действие	Выбор действия - `Разрешение`, `Блокирование`, `Отклонение` - для пакетов, соответствующих критериям, указанным ниже. Разница между `Блокирование` и `Отклонение` заключается в том, что в первом случае, пакет (TCP RST или ICMP-порт, недоступные для UDP) возвращается отправителю, в то время как во втором случае, пакет отбрасывается молча, без ответа. В любом случае, исходный пакет отбрасывается.
Быстрая проверка	Если пакет соответствует правилу, помеченному как `quick`, тогда это правило считается последним совпадающим правилом и выполняется указанное действие. В противном случае, побеждает последнее совпадающее правило.
Интерфейс	Интерфейс к которому применяется правило. Можно указать несколько интерфейсов.
Направление	Направление трафика. По умолчанию используется политика фильтрации входящего трафика, которая устанавливает политику для интерфейса, первым принимающим трафик.
Версии TCP/IP	Указать версию: `IPv4` или `IPv6`.
Протокол	Используемый протокол или `любой`.
Отправитель	Исходная сеть или адрес, допускается использование псевдонимов. В одном правиле можно выбрать несколько источников.
Порт источника	Номер исходного порта или хорошо известное имя (`imap`, `imaps`, `http`, `https`, …), для диапазонов используйте тире.
Источник / Инвертировать	Инвертирование логики сопоставления для отправителя. Например, «все сети, кроме `192.168.0.0/24`».
Получатель	Сеть или адрес назначения, здесь также можно использовать псевдонимы. Можно выбрать несколько получателей для одного правила.
Назначение / Инвертировать	Инвертирование логики сопоставления для получателя. Инвертировать можно только отдельные направления.
Порт назначения	Номер порта назначения или хорошо известное имя (`imap`, `imaps`, `http`, `https`, …), для диапазонов используйте тире.
Шлюз	Выбрать шлюза для использования маршрутизации на основе политик. Для использования системной таблицы маршрутизации - оставить по умолчанию (`Отсутствует`).
Журналирование	Журналировать пакеты, обрабатываемые этим правилом.
Категории	Можно выбрать одну или несколько категорий для правила для упорядочивания элементов.
Описание	Необязательное описание правила.

Порядок сортировки и Последовательность

Правила в Межсетевой экран ‣ Правила обрабатываются неявно - в порядке их появления в конфигурационном файле. В модуле автоматизации Межсетевой экран ‣ Автоматизация реализуется более явный порядок сортировки: поле Последовательность отвечает за позицию в очереди на применение правила.

Примечание

Значение поля Последовательность может быть не уникальным - несколько правил могут иметь один и тот же номер. Это означает нестрогое заполнение фильтра по порядку, по сравнению с ситуацией, когда все правила имеют уникальную последовательность.

Совет

При добавлении нового правила, значение поля Последовательность автоматически устанавливается в 1. Для точного позиционирования правила, надо изменить этот номер вручную.

Порядок обработки

Так как компоненты Межсетевой экран ‣ Правила существуют Межсетевой экран ‣ Автоматизация одновременно, есть некоторые моменты относительно порядка обработки правил.

Если для правила Межсетевой экран ‣ Автоматизация:

определён один интерфейс, то оно является Интерфейсным правилом
определён групповой интерфейс, то это Групповое правило
определено любое количество интерфейсов, то это Плавающее правило

Порядок обработки:

Системные правила в начале набора правил.

Межсетевой экран ‣ Автоматизация и плавающие правила Межсетевой экран ‣ Правила.

Межсетевой экран ‣ Автоматизация и групповые правила Межсетевой экран ‣ Правила.

Интерфейсные правила Межсетевой экран ‣ Автоматизация.

Интерфейсные правила Межсетевой экран ‣ Правила

Системные правила в конце набора правил.

Source NAT

В разделе Межсетевой экран ‣ Автоматизация ‣ Sorce NAT можно создать новые правила NAT источника (также известные, как исходящий NAT или маскарадинг).

Эти правила NAT источника будут соответствовать раньше правил NAT, определённых в Межсетевой экран ‣ NAT.