Настройки

Дополнительно

В некоторых случаях, может возникнуть необходимость изменить то, как система обрабатывает трафик по умолчанию. TING предоставляет соответствующие настройки на странице Межсетевой экран ‣ Настройки ‣ Дополнительно.

Внимание

Правила Межсетевого экрана не будут автоматически генерироваться при использовании любой, из перечисленных ниже, опций NAT для отражения.

Параметры IPv6

Разрешить IPv6: Межсетевой экран заблокирует весь трафик IPv6, если этот параметр будет отключен.

Примечание

Активация не отключает какие-либо функции IPv6 на межсетевом экране, а только блокирует трафик.

Преобразование сетевых адресов

Отражение для перенаправлений портов

По умолчанию отключено. При включении, система будет автоматически генерировать правила rdr для отражения переадресации портов на внутренних интерфейсах (интерфейсы без установленного шлюза).

Если вы создадите правило в Межсетевой экран ‣ NAT ‣ Переадресация постов с интерфейсом wan, автоматические правила rdr будут созданы для всех остальных подключенных интерфейсов (например, lan, opt1, lo0).

Включить отражение 1:1

По умолчанию отключено. При включении, система будет генерировать правила перенаправления rdr для правила NAT 1:1, аналогично настройке для перенаправления портов.

Автоматический исходящий NAT для отражения

По умолчанию, отключено. При включении, система будет генерировать правила nat в дополнение к правилам rdr, эффективно превращая все Reflection NAT в Hairpin NAT.

Предупреждение

Недостатком отражения трафика с внутренним IP-адресом межсетевого экрана является то, что принимающая сторона будет видеть IP-адрес источника брандмауэра, а не IP-адрес клиента. Некоторые функции безопасности на серверах, например fail2ban, не могут работать подобным образом.

Bogon-сети

Частота обновлений: Настройка частоты обновления списков IP-адресов, которые зарезервированы (но не RFC 1918) или ещё не назначены IANA.

Мониторинг шлюза

Игнорировать правила: По умолчанию, когда в правиле задан определённый шлюз и он не работает, правило создаётся и трафик отправляется на шлюз по умолчанию. Эта опция отменяет такое поведение и правило не создаётся, если шлюз не работает.

Multi-WAN

Фиксированные соединения: При использовании группы шлюзов, межсетевой экран будет использовать один и тот же шлюз для одного и того же адреса источника
Общая переадресация: Использование политики маршрутизации в правилах фильтрации пакетов приводит к тому, что пакеты пропускают обработку для задач шейпера и Captive Portal. Использование этой опции позволяет разделять решения о пересылке между всеми компонентами, чтобы приспособиться к сложным настройкам.
Отключить назначение шлюзов: По умолчанию, TING принудительно устанавливает шлюз на интерфейсах типа WAN (т.е., к которым подключен шлюз). Хотя по умолчанию, обычно, используется желаемое поведение, оно влияет на решения по маршрутизации, принимаемые системой (локальный трафик, привязанный к адресу, будет использовать соответствующий шлюз).

Расписания

Расписание состояний: По умолчанию, расписания очищают состояния существующих соединений по истечении срока действия. Эта опция отменяет данное поведение, не очищая состояния для существующих соединений.

Прочее

Оставить счётчики

Сохранить счётчики правил при обновлении правил. Обычно счётчики правил обнуляются при каждом обновлении набора правил. Если установлено, система попытается сопоставить счётчики с существующими правилами при перезагрузке фильтра.

Отладка

Установить уровень детализации для различных условий.

Оптимизация межсетевого экрана

Оптимизация таблицы состояний брандмауэра для использования. Влияет на количество активных состояний в системе, может быть изменена только в конкретных сценариях реализации.

нормальный (по умолчанию) - Как видно из названия, это обычный алгоритм оптимизации;
большая задержка - Используется для каналов с высокой задержкой, например, спутниковых. Завершает простаивающие соединения позже, чем по умолчанию;
агрессивный - Завершает простаивающие соединения быстрее. Более эффективное использование процессора и памяти, но может сбрасывать разрешённые простаивающие соединения;
консервативный - Пытается избежать сбрасывания разрешённых простаивающих соединений за счёт увеличения объёма памяти и загрузки процессора.

Привязать состояния к интерфейсу

Устанавливает поведение для сохранения состояний. По умолчанию, состояния являются плавающими, но когда эта опция установлена, они должны соответствовать интерфейсу. Опция по умолчанию (не установлено) соответствует состояниям независимо от интерфейса, что, в большинстве случаев, является лучшим выбором.

Отключить межсетевой экран

Отключает все функции межсетевого экрана (включая NAT) на этой машине.

Адаптивные Тайм-ауты межсетевого экрана

Тайм-ауты для состояний можно адаптивно масштабировать по мере роста числа записей в таблице состояний.

начало - Когда количество записей состояний превышает это значение, начинается адаптивное масштабирование. Все значения таймаута масштабируются линейно с коэффициентом (adaptive.end - количество состояний) / (adaptive.end - adaptive.start).
конец - При достижении этого количества записей состояний все значения таймаута становятся нулевыми, что приводит к немедленной очистке всех записей состояний. Это значение используется для определения коэффициента масштабирования, на самом деле оно не должно быть достигнуто (установите нижний предел состояния, см. ниже).

Максимальное количество состояний межсетевого экрана: Максимальное количество соединений, которое должно храниться в таблице состояний брандмауэра; обычно значение по умолчанию подходит, но, при обслуживании большого количества соединений, вы можете рассмотреть возможность увеличения размера по умолчанию, указанного в тексте справки.
Максимальное количество фрагментов межсетевого экрана: Устанавливает максимальное количество записей в пуле памяти, используемом для пересборки фрагментов.
Максимальное количество записей в таблице: Максимальное количество записей в таблице для таких систем, как псевдонимы, sshlockout, bogons и т. д., вместе взятых. При использовании большого количества крупных псевдонимов, можно увеличить значение по умолчанию. Настроенное значение по умолчанию указано в тексте справки.
Фильтрация статических маршрутов: Эта опция применяется только в том случае, если вы определили один или несколько статических маршрутов. Если она включена, трафик, входящий и выходящий через один и тот же интерфейс, не будет проверяться брандмауэром. Это может быть желательно в некоторых ситуациях, когда к одному интерфейсу подключено несколько подсетей.

Примечание

Хотя эти правила будут видны в разделе «автоматических» правил каждого интерфейса, мы обычно советуем добавлять правила, фактически запрашиваемые для каждой сети, вручную.
Отключить relpy-to: При использовании Multi-WAN вы, как правило, хотите, чтобы трафик покидал тот же интерфейс, на который он пришел, поэтому reply-to добавляется автоматически по умолчанию. При использовании моста, вы должны отключить это поведение, если IP-адрес шлюза WAN отличается от IP-адреса шлюза узлов, расположенных за интерфейсом моста.
Отключить анти-блокировку: Если этот флажок снят, доступ к веб-интерфейсу GUI или SSH на интерфейсе LAN всегда разрешён, независимо от установленных пользователем правил брандмауэра. Установите этот флажок, чтобы отключить автоматически добавляемое правило, тогда доступ будет контролироваться только пользовательскими правилами брандмауэра. Убедитесь, что у вас есть правило брандмауэра, которое позволяет вам войти, иначе вы сами себя заблокируете.
Интервал разрешения алиасов: Интервал в секундах, который будет использоваться для разрешения имён хостов, настроенных на псевдонимы.
Проверить сертификат для URL-алиасов: Убедитесь, что сертификат действителен для всех HTTPS-адресов в псевдонимах. Если он недействителен или отозван, не загружайте его.

Anti-DDOS

Включить syncookies

Эта опция очень похожа на настройку ядра syncookies , предотвращая выделение памяти для локальных служб до того, как будет выполнено соответствующее рукопожатие. В этом случае pf будет защищён от исчерпания таблицы состояний. Доступны следующие режимы:

никогда (по умолчанию)
всегда
адаптивный - в этом случае необходимо указать нижний и верхний процент, относящийся к использованию таблицы состояний.

Нормализация

Нормализация трафика защищает внутренние машины от несоответствий в интернет-протоколах и их реализациях. В TING есть общие настройки для нормализации некоторых пакетов на основе каждого интерфейса. В некоторых случаях требуются более детальные изменения, для которых можно настроить пользовательские правила.

По умолчанию (когда параметр Отключить нормализацию пакетов на интерфейсе не установлен), все интерфейсы будут скрабированы для всего трафика, с активированным IP не фрагментирован и max-mss, если указано в MSS в интерфейсе.

Примечание

Некоторые протоколы, такие как NFS, требуют особых параметров обработки фрагментов, для которых нужна установка специальных опций, таких как Не фрагментировать.

Дополнительные настройки

Правила нормализации используют тот же тип сопоставления, что и обычные правила межсетевого экрана. При сопоставлении, можно задать несколько различных параметров.

Примечание

Если правила пересекаются, побеждает первое совпадающее правило, поэтому опции интерфейса сортируются после настраиваемых пользователем.

Нет очистки (NOT)	Установка флага отключает нормализацию трафика, соответствующего правилу.
Макс MSS	Обеспечивает максимальный MSS для соответствующих TCP-пакетов. Также можно настроить на интерфейсе, как общее правило.
TOS / DSCP	Обеспечивает ToS/DSCP для соответствующих IP-пакетов.
Минимальное TTL	Обеспечивает минимальный TTL для соответствующих IP-пакетов.
Не фрагментировать	Очищает бит `dont-fragment` для соответствующего IP-пакета, который отключает IP-фрагментацию , если он установлен.
Случайный ID	Заменяет поле IP-идентификации случайными значениями, чтобы компенсировать предсказуемые значения, генерируемые многими хостами. Эта опция применяется только к пакетам, которые не фрагментируются после дополнительной пересборки фрагментов.

Расписания

Список расписаний для запусков Межсетевого экрана. Новое расписание можно задать, нажав на кнопку + справа вверху.