Правила

TING включает в себя пакетный фильтр с отслеживанием состояния, который можно использовать для ограничения или разрешения трафика из и/или в определенённые сети, а также для влияния на то, как трафик должен передаваться/направляться (см. также маршрутизацию на основе политик в Multi WAN).

В разделе правил, отображаются все политики, применяемые в вашей сети, сгруппированные по интерфейсам.

По умолчанию, межсетевой экран преднастроен таким образом, что:

  1. блокирует любое несанкционированное обращение со стороны Интернета к самому устройству TING и любой машине во внутренней сети

  2. разрешает пользователям внутренней сети беспрепятственно обращаться к компьютерам в Интернет

  3. обеспечивает раздачу Интернета на пользователей внутренней сети (функционал NAT)

  4. защищает пользователя от самоблокировки при доступе по веб-интерфейсу или SSH

За (1) отвечает отсутствие разрешающих правил в разделе Межсетевой экран ‣ Правила ‣ WAN.

За (2) отвечают преднастроенные правила:

Default allow LAN to any rule
Default allow LAN IPv6 to any rule

в разделе Межсетевой экран ‣ Правила ‣ LAN, благодаря которым, из внутренней сети разрешен любой доступ как на сам шлюз (LAN-адаптер шлюза), так и в Интернет. Любой ответный трафик из Интернета также свободно пропускается межсетевым экраном.

За (3) отвечают автоматически создаваемые правила в разделе Межсетевой экран ‣ NAT ‣ Исходящий.

За (4) отвечает преднастроенное Правило антиблокировки в разделе Межсетевой экран ‣ Правила ‣ LAN.

Данное правило располагается в сгруппированном Автоматически сгенерированном блоке правил, вверху списка, который можно развернуть.

Оно не допускает перемещения и удаления, и разрешает доступ по TCP-портам 22 (SSH), 80 (HTTP), 443 (HTTPS).

Это значит, что любое запрещающее правило на данные порты, расположенное ниже преднастроенного правила, не будет иметь силы и не заблокирует доступ к функциям администрирования устройства TING.

Также, другое преднастроенное Правило антиблокировки находится в разделе Межсетевой экран ‣ NAT ‣ Переадресация портов.

Данное правило также располагается вверху списка, оно не допускает перемешещения и удаления, и запрешает редирект для TCP-портов 22 (SSH), 80 (HTTP), 443 (HTTPS).

Это значит, что любое правило на редирект для данных портов, расположенное ниже преднастроенного правила, не будет иметь силы и не заблокирует доступ к функциям администрирования устройства TING.

Создание правил

Создание правил может потребоваться, если нужно:

  • открыть доступ на устройство TING со стороны сети Интернет

  • запретить пользователям внутренней сети обращаться в сеть Интернет по IP-адресу / протоколу / порту

  • предоставить доступ из Интернета к службам, выполняемым на хостах во внутренней LAN-сети (проброс портов)

Доступ на устройство TING со стороны сети Интернет

Для примера, разрешим подключение к шлюзу Traffic Inspector Next Generation со стороны WAN-адаптера по протоколу SSH.

Пройдите в раздел Межсетевой экран ‣ Правила ‣ WAN. Кликните на значок + для создания нового правила. Cоздайте правило со следующими настройками:

Действие

Разрешение

Интерфейс

WAN

Версии TCP/IP

IPv4

Протокол

TCP

Отправитель

Любой

Получатель

WAN адрес

Диапазон портов назначения

SSH

Описание

Правило для разрешения подключений по SSH со стороны Интернета

Нажмите Сохранить для применения настроек.

Запрет на обращение в сеть Интернет

Для примера, запретим пользователям внутренней сети обращаться в Интернет по протоколу HTTPS.

Пройдите в раздел Межсетевой экран ‣ Правила ‣ LAN. Кликните на значок + для создания нового правила. Cоздайте правило со следующими настройками:

Действие

Запрет

Интерфейс

LAN

Версии TCP/IP

IPv4

Протокол

TCP

Отправитель

LAN сеть

Получатель

Любой

Диапазон портов назначения

HTTPS

Описание

Правило для запрета обращения в Интернет по протоколу HTTPS

Нажмите Сохранить для применения настроек.