7.4 FIREWALL
Firewall w urządzeniu MiDGE bazuje na systemie operacyjnym Linux i oparty jest na netfilter/iptables. To zestaw reguł kontrolujących każdy przychodzący pakiet. Pakiety które nie spełniają reguł są domyślnie blokowane.
7.4.1 Zarządzanie
Na tej stronie można włączać lub wyłączać firewall. Kiedy zostanie uruchomiony, może być utworzony skrót do generowania predefiniowanego zestawu reguł które pozwolą na administrację zdalną urządzeniem poprzez HTTPS, HTTPS, SSH lub TELNET.
Status administracji: |
Enabled / Włączony lub disabled / wyłączony |
Zezwól na administrację WAN |
Ta opcja predefiniuje reguły dla serwisów na łączu WAN jak na rysunku poniżej |
Statystyki
Statyski przedstawiają liczbę pakietów obsłużonych przez daną regułę.
Grupy
To menu jest używane do tworzenia grup adresowych, które mogą być później używane jako reguły firewalla w celu zmniejszenia ilości reguł dla danych adresów.
Dodawanie reguły do zapory Firewall
Reguły można dodawać niezależnie od stanu zapory sieciowej. Jednak będą one aktywne, dopiero kiedy usługa zostanie włączona.
Description: |
Opis zastosowania tej reguły |
Mode: |
Czy pakiet ma być dopuszczony ALLOW czy zablokowany DENY |
Incoming interface: |
Interfejs odbierający pakiety danych. Ustawienie WAN odbiera pakiety z każdego medium. |
Source: |
Adres źródłowy pakietów, może bo tyć sieci LAN lub host |
Destination: |
Adres docelowy dla pakietów, może być lokalny lub określony przez adres/sieć |
Protocol: |
Wybór protokołu dla przesyłu pakietów danych (ANY, TCP, UDP, ICMP) |
Destination port(s): |
Docelowy port dla pakietów. Możesz określić pojedynczy port lub zakres portów. Ważne: Aby działała funkcja kierowania na określone porty, musi zostać wybrany rodzaj transmisji TCP lub UDP. |
7.4.2 NATP
Ta strona pozwala na ustawienie przekierowania portów (tłumaczenie adresów sieciowych). NAPT umożliwia komunikację pomiędzy hostami w prywatnej sieci, a siecią publiczną. Pozwala pojedynczemu publicznemu IP na wykorzystanie go przez wiele hostów w prywatnej sieci LAN.
Administracja
Poniższe menu pozwala na konfiguracje interfejsów dla których będzie realizowana usługa translacji adresów NATP. Można ustalić indywidalne reguły dla łącza WAN, LAN, tuneli VPN, etc.
Inbound Rules
Reguły przychodzące są używanie do przesłania pakietów IP, serwisów lub portów do wewnętrznego hosta. Dzięki teemu usługi są widoczne z sieci zewnętrznej, np. z Internetu.
Można też uruchomić NAT 1:1 całego hosta, czyli przekierować wszystkie pakiety na komputer "za routerem MiDGE". Opcja ta uniemożliwia dostęp administracyjny do routera MIDGE za pośrednictwem usług HTTP/S, SSH/CLI, gdyż zapytania zostaną przekazane do urządzenia "za routrerem".
Dodawanie reguły przychodzącej NATP
Description: |
Opis reguły. Zalecamy stosowanie opisów przeznaczenia. Ułatwia to pracę, zwłaszcza jeżeli kilka osób administruje siecią lub reguł NAT jest dużo. Opisy typu: kamery, sterownik A, sterownik B, serwer scada, etc znacznie ułatwiają pracę. |
Map: |
Miejsce z którego określone pakiety będą otrzymywane. Sieć (network) lub host |
Incoming interface: |
Interfejs z którego będą otrzymywane pakiety. Domyślne ustawienie ANY lub WAN |
Target address: |
Adres docelowy pakietów (opcjonalnie) |
Target port(s): |
Wybieramy protokół, zgodnie z którym będą przychodzić dane. Do wyboru ANY (wszystko), TCP, UDP, ICMP W tej samej linii należy zdefiniować port lub zakres portów z jakich będzie odbywać się komunikacja. Jeżeli port ma być jeden, to trzeba go wpisać dwa razy np. 2222 to 2222 |
Redirect to / Adress: |
Ustawienie adresu na który przychodzące pakiety będą przekierowanie |
Port: |
Port na który przychodzące pakiety mają zostać przekierowane. Jeżeli port jest taki sam jak przychodzący, zaznaczamy opcję same port, a jeżeli inny, opcję: specify, gdzie w polu obok należy podać numer portu w sieci wewnętrznej. |
Outbound Rules
NATP - Reguły wychodzące
Reguły wychodzące modyfikują strukturę źródłową pakietów IP i mogą być wykorzystane przez NAT 1:1. Funckja działa analogicznie jak Inbound rules, tylko w drugą stronę.
Description: |
Opis reguły |
Outgoing interface: |
Wychodzący interfejs przez który wybrane pakiety opuszczają router/sieć LAN |
Source address: |
Adres źródłowy pakietów (opcja) |
Source ports: |
Wybór warstwy UDP/TCP dla przekazywanych pakietów oraz portów |
Rewrite to Address: |
Adres na który źródłowe pakiety będą przesłane |
Rewrite to Port: |
Port na który źródłowe pakiety będą przesłane w zdalnej sieci |