Настройки
Дополнительно
В некоторых случаях, может возникнуть необходимость изменить то, как система обрабатывает трафик по умолчанию. TING предоставляет соответствующие настройки на странице .
Внимание
Правила Межсетевого экрана не будут автоматичеки генерироваться при использовании любой, из перечисленных ниже, опций NAT для отражения.
Преобразование сетевых адресов
Отражение для перенаправлений портов
По умолчанию, отключено. При включении, система будет автоматически генерировать правила rdr для отражения переадресации портов на внутренних интерфейсах (интерфейсы без установленного шлюза).
Если вы создадите правило в с интерфейсом wan, автоматические правила rdr будут созданые для всех остальных подключенных интерфейсов (например, lan, opt1, lo0).
Включить отражение 1:1
По умолчанию, отключено. При включении, система будет генерировать правила перенаправления rdr для правила NAT 1:1, аналогично настройке для перенаправления портов.
Автоматический исходящий NAT для отражения
По умолчанию, отключено. При включении, система будет генерировать правила nat в дополнение к правилам rdr, ээфективно превращая все Reflection NAT в Hairpin NAT.
Предупреждение
Недостатком отражения трафика с внутренним IP-адресом межсетевого экрана является то, что принимающая сторона будет видеть IP-адрес источника брандмауэра, а не IP-адрес клиента. Некоторые функции безопасности на серверах, например fail2ban, не могут работать подобным образом.
Bogon-сети
Частота обновлений
Настройка частоты обновления списков IP-адресов, которые зарезервированы (но не RFC 1918) или ещё не назначены IANA.
Мониторинг шлюза
Игнорировать правила
По умолчанию, когда в правиле задан определённый шлюз и он не работает, правило создаётся и трафик отправляется на шлюз по умолчанию. Эта опция отменяет такое поведение и правило не создаётся, если шлюз не работает.
Multi-WAN
Фиксированные соединения
При использовании группы шлюзов, межсетевой экран будет использовать один и тот же шлюз для одного и того же адреса источника
Общая переадресация
Использование политики маршрутизации в правилах фильтрации пакетов приводит к тому, что пакеты пропускают обработку для задач шейпера и Captive Portal. Использование этой опции позволяет разделять решения о пересылке между всеми компонентами, чтобы приспособиться к сложным настройкам.
Отключить назначение шлюзов
По умолчанию, TING принудительно устанавливает шлюз на интерфейсах типа WAN (т.е., к которым подключен шлюз). Хотя по умолчанию, обычно, используется желаемое поведение, оно влияет на решения по маршрутизации, принимаемые системой (локальный трафик, привязанный к адресу, будет использовать соответствующий шлюз).
Расписания
Расписание состояний
По умолчанию, расписания очищают состояния существующих соединений по истечении срока действия. Эта опция отменяет данное поведение, не очищая состояния для существующих соединений.
Прочее
Оставить счётчики
Сохранить счетчики правил при обновлении правил. Обычно счетчики правил обнуляются при каждом обновлении набора правил. Если установлено, система попытается сопоставить счетчики с существующими правилами при перезагрузке фильтра.
Отладка
Установить уровень детализации для различных условий.
Оптимизация межсетевого экрана
Оптимизация таблицы состояний брандмауэра для использования. Влияет на количество активных состояний в системе, может быть изменена только в конкретных сценариях реализации.
нормальный (по умолчанию) - Как видно из названия, это обычный алгоритм оптимизации;
большая задержка - Используется для каналов с высокой задержкой, например, спутниковых. Завершает простаивающие соединения позже, чем по умолчанию;
агрессивный - Завершает простаивающие соединения быстрее. Более эффективное использование процессора и памяти, но может сбрасывать разрёшённые простаивающие соединения;
консервативный - Пытается избежать сбрасывания разрешённых простаивающих соединений за счет увеличения объема памяти и загрузки процессора.
Привязать состояния к интерфейсу
Устанавливает поведение для сохранения состояний. По умолчанию, состояния являются плавающими, но когда эта опция установлена, они должны соответствовать интерфейсу. Опция по умолчанию (не установлено) соответствует состояниям независимо от интерфейса, что, в большинстве случаев, является лучшим выбором.
Отключить межсетевой экран
Отключает все функции межсетевого экрана (включая NAT) на этой машине.
Адаптивные Тайм-ауты файрволла
Тайм-ауты для состояний можно адаптивно масштабировать по мере роста числа записей в таблице состояний.
начало - Когда количество записей состояний превышает это значение, начинается адаптивное масштабирование. Все значения таймаута масштабируются линейно с коэффициентом
(adaptive.end - количество состояний) / (adaptive.end - adaptive.start).конец - При достижении этого количества записей состояний все значения таймаута становятся нулевыми, что приводит к немедленной очистке всех записей состояний. Это значение используется для определения коэффициента масштабирования, на самом деле оно не должно быть достигнуто (установите нижний предел состояния, см. ниже).
Максимальное количество состояний межсетевого экрана
Максимальное количество соединений, которое должно храниться в таблице состояний брандмауэра; обычно значение по умолчанию подходит, но, при обслуживании большого количества соединений, вы можете рассмотреть возможность увеличения размера по умолчанию, указанного в тексте справки.
Максимальное количество фрагментов межсетевого экрана
Устанавливает максимальное количество записей в пуле памяти, используемом для пересборки фрагментов.
Максимальное количество записей в таблице
Максимальное количество записей в таблице для таких систем, как псевдонимы, sshlockout, bogons и т. д., вместе взятых. При использовании большого количества крупных псевдонимов, можно увеличить значение по умолчанию. Настроенное значение по умолчанию указано в тексте справки.
Фильтрация статических маршрутов
Эта опция применяется только в том случае, если вы определили один или несколько статических маршрутов. Если она включена, трафик, входящий и выходящий через один и тот же интерфейс, не будет проверяться брандмауэром. Это может быть желательно в некоторых ситуациях, когда к одному интерфейсу подключено несколько подсетей.
Примечание
Хотя эти правила будут видны в разделе «автоматических» правил каждого интерфейса, мы обычно советуем добавлять правила, фактически запрашиваемые для каждой сети, вручную.
Отключить relpy-to
При использовании Multi-WAN вы, как правило, хотите, чтобы трафик покидал тот же интерфейс, на который он пришел, поэтому reply-to добавляется автоматически по умолчанию. При использовании моста, вы должны отключить это поведение, если IP-адрес шлюза WAN отличается от IP-адреса шлюза узлов, расположенных за интерфейсом моста.
Отключить анти-блокировку
Если этот флажок снят, доступ к веб-интерфейсу GUI или SSH на интерфейсе LAN всегда разрешен, независимо от установленных пользователем правил брандмауэра. Установите этот флажок, чтобы отключить автоматически добавляемое правило, тогда доступ будет контролироваться только пользовательскими правилами брандмауэра. Убедитесь, что у вас есть правило брандмауэра, которое позволяет вам войти, иначе вы сами себя заблокируете.
Интервал разрешения алиасов
Интервал в секундах, который будет использоваться для разрешения имен хостов, настроенных на псевдонимы.
Проверить сертификат для URL-алиасов
Убедитесь, что сертификат действителен для всех HTTPS-адресов в псевдонимах. Если он недействителен или отозван, не загружайте его.
Anti-DDOS
Расписания
Список расписаний для запусков Межсетевого экрана. Новое расписание можно задать, нажав на кнопку + справа вверху.
