MiDGE Przemysłowy router GSM/GPRS/EDGE/UMTS/LTE dla systemów SCADA

7.4 FIREWALL

Firewall w urządzeniu MiDGE bazuje na systemie operacyjnym Linux i oparty jest na netfilter/iptables. To zestaw reguł kontrolujących każdy przychodzący pakiet. Pakiety które nie spełniają reguł są domyślnie blokowane.

7.4.1 Zarządzanie

Na tej stronie można włączać lub wyłączać firewall. Kiedy zostanie uruchomiony, może być utworzony skrót do generowania predefiniowanego zestawu reguł które pozwolą na administrację zdalną urządzeniem poprzez HTTPS, HTTPS, SSH lub TELNET.

MiDGE Zarządzanie usługą FIREWALL
Rys. Uruchomienie zapory sieciowej

Status administracji:

Enabled / Włączony lub disabled / wyłączony

Zezwól na administrację WAN

Ta opcja predefiniuje reguły dla serwisów na łączu WAN jak na rysunku poniżej

MiDGE Zapora sieciowa - zdalna administracja
Rys. Otwarte porty dla administracji zdalnej

Statystyki

Statyski przedstawiają liczbę pakietów obsłużonych przez daną regułę.

MiDGE Statystyki zapory sieciowej Firewall
Rys. Statystyka użycia reguł

Grupy

To menu jest używane do tworzenia grup adresowych, które mogą być później używane jako reguły firewalla w celu zmniejszenia ilości reguł dla danych adresów.

Dodawanie grup do firewall MiDGE
Rys. Grupy

Dodawanie reguły do zapory Firewall

MiDGE Dodawanie reguły do zapory Firewall
Rys. Dodawanie reguły do zapory sieciowej.

Reguły można dodawać niezależnie od stanu zapory sieciowej. Jednak będą one aktywne, dopiero kiedy usługa zostanie włączona.

Description:

Opis zastosowania tej reguły

Mode:

Czy pakiet ma być dopuszczony ALLOW czy zablokowany DENY

Incoming interface:

Interfejs odbierający pakiety danych. Ustawienie WAN odbiera pakiety z każdego medium.

Source:

Adres źródłowy pakietów, może bo tyć sieci LAN lub host

Destination:

Adres docelowy dla pakietów, może być lokalny lub określony przez adres/sieć

Protocol:

Wybór protokołu dla przesyłu pakietów danych (ANY, TCP, UDP, ICMP)

Destination port(s):

Docelowy port dla pakietów. Możesz określić pojedynczy port lub zakres portów. Ważne: Aby działała funkcja kierowania na określone porty, musi zostać wybrany rodzaj transmisji TCP lub UDP.

7.4.2 NATP

Ta strona pozwala na ustawienie przekierowania portów (tłumaczenie adresów sieciowych). NAPT umożliwia komunikację pomiędzy hostami w prywatnej sieci, a siecią publiczną. Pozwala pojedynczemu publicznemu IP na wykorzystanie go przez wiele hostów w prywatnej sieci LAN.

Administracja

Poniższe menu pozwala na konfiguracje interfejsów dla których będzie realizowana usługa translacji adresów NATP. Można ustalić indywidalne reguły dla łącza WAN, LAN, tuneli VPN, etc.

MiDGE Administracja NATP
Rys. Administracja NATP

Inbound Rules

Reguły przychodzące są używanie do przesłania pakietów IP, serwisów lub portów do wewnętrznego hosta. Dzięki teemu usługi są widoczne z sieci zewnętrznej, np. z Internetu.

Można też uruchomić NAT 1:1 całego hosta, czyli przekierować wszystkie pakiety na komputer "za routerem MiDGE". Opcja ta uniemożliwia dostęp administracyjny do routera MIDGE za pośrednictwem usług HTTP/S, SSH/CLI, gdyż zapytania zostaną przekazane do urządzenia "za routrerem".

MiDGE NATP reguły przychodzące
Rys. Reguły przychodzące NATP

Dodawanie reguły przychodzącej NATP

MiDGE Dodawanie reguły przychodzącej NATP
Rys. Konfiguracja reguł przychodzących NATP

 

Description:

Opis reguły. Zalecamy stosowanie opisów przeznaczenia. Ułatwia to pracę, zwłaszcza jeżeli kilka osób administruje siecią lub reguł NAT jest dużo. Opisy typu: kamery, sterownik A, sterownik B, serwer scada, etc znacznie ułatwiają pracę.

Map:

Miejsce z którego określone pakiety będą otrzymywane. Sieć (network) lub host

Incoming interface:

Interfejs z którego będą otrzymywane pakiety. Domyślne ustawienie ANY lub WAN

Target address:

Adres docelowy pakietów (opcjonalnie)

Target port(s):

Wybieramy protokół, zgodnie z którym będą przychodzić dane. Do wyboru ANY (wszystko), TCP, UDP, ICMP

W tej samej linii należy zdefiniować port lub zakres portów z jakich będzie odbywać się komunikacja. Jeżeli port ma być jeden, to trzeba go wpisać dwa razy np. 2222 to 2222

Redirect to / Adress:

Ustawienie adresu na który przychodzące pakiety będą przekierowanie

Port:

Port na który przychodzące pakiety mają zostać przekierowane. Jeżeli port jest taki sam jak przychodzący, zaznaczamy opcję same port, a jeżeli inny, opcję: specify, gdzie w polu obok należy podać numer portu w sieci wewnętrznej.

Outbound Rules

NATP - Reguły wychodzące

Reguły wychodzące modyfikują strukturę źródłową pakietów IP i mogą być wykorzystane przez NAT 1:1. Funckja działa analogicznie jak Inbound rules, tylko w drugą stronę.

Description:

Opis reguły

Outgoing interface:

Wychodzący interfejs przez który wybrane pakiety opuszczają router/sieć LAN

Source address:

Adres źródłowy pakietów (opcja)

Source ports:

Wybór warstwy UDP/TCP dla przekazywanych pakietów oraz portów

Rewrite to Address:

Adres na który źródłowe pakiety będą przesłane

Rewrite to Port:

Port na który źródłowe pakiety będą przesłane w zdalnej sieci

MiDGE Reguły wychodzące NATP
Rys. Translacja pakietów wychodzących