====== netshe_doc_chap5 ====== {{netshe_doc_chap5.odt|Original file}} {{глава_5_-_межсетевой_экран_Image_0.gif}}**NETSHe Lab** |**Универсальное программное обеспечение **\\ **NETSHe**** **\\ **для сетевых устройств.**\\ Часть 5. Межсетевой экран и другие средства фильтрации.|| | NETSHe Lab длительное время занимается разработками программного обеспечения для сетевых устройств, провайдеров услуг и операторов связи. Среди программного обеспечения центральное место занимает операционная система NETSHe, которая может быть использована в широком спектре сетевых устройств и сервисов.|| |Версия 2\\ Апрель, 2020|\\ Станислав Корсаков, ООО «Нетше лаб»\\ (с) 2009-2020 Ярославль| Оглавление ====== Межсетевой экран в NETSHe ====== В состав операционной системы NETSHe включен весьма мощный межсетевой экран и средства управления им. К встроенным функциям межсетевого экрана следует отнести: - Задание гибких правил для приема, отбрасывания, пересылки трафика на основании IP-адресов/сетей источника и получателя, портов/ протоколов (в том числе протоколов приложений 7-го уровня модели OSI), MAC-адресов источника и т. п.; - Зональный принцип работы с автоматическим включением интерфейсов в соответствующую зону; - Задание умалчиваемых политик для всего экрана и, отдельно, для каждой из зон; - Динамическая трансляция сетевых адресов (NAT); - Статическая трансляция сетевых адресов и портов (SNAT/PAT); - Прочие виды трансляции сетевых адресов (source NAT, policy NAT) - защиту от SYN-flood атак, - экспорт данных о потоке трафика, проходящем через экран в формате netflow v5. Средства управления сетевым экраном собраны в пунктах меню WebUI «Сеть->Межсетевой экран» («Сеть->IPv6 Межсетевой экран»), они представляют собой страницы-вкладки по числу зон, а так же вкладки с общими настройками для всех зон. {{глава_5_-_межсетевой_экран_Image_1.jpg}} WebUI предоставляет визуально ясный и наиболее удобный способ настройки правил межсетевого экрана, который будет подробно описан далее. Помимо этого пользователь может посмотреть, как применяются правила, с помощью меню «Диагностика->Состояние МСЭ IPv4/IPv6» {{глава_5_-_межсетевой_экран_Image_2.jpg}} SSH консоль так же предоставляет некоторые возможности управления межсетевым экраном. В частности, если пользователю не доступен веб-интерфейс с порта отличного от LAN, то он может временно отключить межсетевой экран с помощью CLI-команды: **nu****-****fw**** ****stop** **Внимание!**** **Отключение сетевого экрана не безопасно для сети, поэтому делать это можно только в полностью контролируемом сетевом окружении и исключительно в диагностических целях или временно, для устранения неисправностей. Если маршрутизатор расположен на периметре сети, сетевой экран должен быть обязательно включен. Если сетевой экран включен, то все интерфейсы маршрутизатора должны принадлежать какой-нибудь зоне. В противном случае трафик интерфейсов вне зон будет отбрасываться. ====== **Настройка межсетевого экрана** ====== ===== Настройки по умолчанию ===== Межсетевой экран в NETSHe имеет определенные предустановки, реализующие выход в Интернет пользователям локальной сети и запрещающие доступ снаружи в локальную сеть и к службам на устройстве под управлением NETSHe. Все настройки выполняются с помощью веб-интерфейса в пункте меню «Сеть-> Межсетевой экран». Так выглядят настройки общие для всех зон: {{глава_5_-_межсетевой_экран_Image_3.jpg}} Настройки сетевого экрана любой зоны имеют заголовок и три секции с правилами: - В заголовке указано основное действие, которое следует применить к трафику, а так же зоны, в которые включен NAT из данной зоны. - Первая секция описывает поведение экрана для входящего трафика зоны. Эти правила разрешают или запрещают трафик в зависимости от заданных TCP/UDP портов и/или IP адресов/подсетей приемника или источника. - Вторая секция описывает правила проброса портов (PAT) , как правило, это применяется для входящего трафика на IP адреса внутри сети. - Третья секция реализует правила NAT(на базе источника). {{глава_5_-_межсетевой_экран_Image_4.jpg}} В случае Port Forwarding или PAT (Port Address Translation), который используется для доступа к локальным IP-адресам из Интернет, настройки правил имеют следующий вид: - Протокол может быть TCP или UDP. - ‘Внешний IP’ это адрес, запрашиваемый из Интернета. Пользователь может его не указывать, тогда запрос на любой адрес будет попадать под это правило. - ‘Внешний порт’ это порт, запрашиваемый из Интернета. В общем случае он может быть случайным, тогда надо это поле в правиле не заполнять. - ‘Внутренний адрес’ это IP адрес из локальной сети, который привязан правилом к внешнему адресу WAN в целях доступности из Интернета. - ‘Внутренний порт’ это порт приложения локального сервера, на который внешний запрос и будет отправлен. Чаще всего это популярные порты TCP типа 443 для SSL. - ‘Описание’ любое понятное описание правила, объясняющее его суть и отличающее его от других правил. Рассмотрим несколько типичных примеров настройки межсетевого экрана, во всех случаях межсетевой экран должен быть включен, это общий шаг для всех следующих примеров. ===== Пример 1. Выход из локальной сети в Интернет ===== NAT (Network Address Translation) нужен для передачи IP-пакетов локального источника по сети Интернет, заменяя локальный адрес на публичный IP, маршрутизируемый в сети Интернет. Решается такая задача путем пересылки (проброса) портов в межсетевом экране NETSHe. Как уже говорилось выше, эта задача реализована в системе по умолчанию. Достаточно отметить переключатель NAT напротив зоны WAN. {{глава_5_-_межсетевой_экран_Image_5.jpg}} Так же обратите внимание, что в настройках зоны установлено глобальное правило «принимать входящий трафик», по умолчанию такая установка выполнена только для LAN. ===== Пример 2. Доступ к управлению NETSHe не из локальной сети ===== Как говорилось выше, доступ к управлению устройством со стороны LAN открыт по умолчанию, но в ряде случаев требуется разрешить доступ к службам на устройстве под управлением NETSHe снаружи. Например, к веб-интерфейсу и SSH (последний настоятельно не рекомендуется по соображениям безопасности). {{глава_5_-_межсетевой_экран_Image_6.jpg}} Для этого переходим в настройках зоны «WAN» (как показано на иллюстрациях выше) в разделе «Набор дополнительных правил для зоны» вводим правила, каждый раз нажимая иконку с зеленым «+»: - Пакеты протокола TCP на внешний порт 22 принять - Пакеты протокола TCP на внешний порт 5556 принять. Устанавливаем галочку «Перезапустить сервис после сохранения» и нажимаем кнопку «Сохранить». Веб-интерфейс и удаленный доступ стали возможными снаружи устройства. Аналогично можно настроить доступ с порта любой зоны, на которой установлено глобальное правило «запретить входящий трафик». ===== Пример 3. Проброс портов внутрь сети в межсетевом экране NETSHe ===== Одной из часто возникающих задач является организация доступности какого-либо сервера, расположенного внутри сети, для внешних Интернет-пользователей. Примером такой задачи может являться организация доступа к веб-серверу или получение почты корпоративным почтовым сервером. Выберем зону «WAN» в межсетевом экране и в разделе «Набор правил для пересылки портов внутрь сети» введем: - порт на внешних интерфейсах, что нужно пробросить внутрь сети. (25 протокол SMTP), - протокол, пакеты которого требуется пересылать во внутреннюю сеть (TCP), - IP-адрес расположенного во внутренней сети компьютера (например, 192.168.0.41), - порт этого внутреннего компьютера, на который будет выполняться пересылка (25). {{глава_5_-_межсетевой_экран_Image_7.jpg}} Устанавливаем галочку «Перезапустить сервис после сохранения» и нажимаем кнопку «Сохранить». Введенное нами правило сохраняется в списке правил для пересылки, и при поступлении TCP-пакета на 25 порт любого их наших внешних интерфейсов, такой пакет будет перенаправлен на TCP 25 порт компьютера с адресом 192.168.0.41. Легко догадаться, что приведенный пример относится к установке внутри сети SMTP-сервера и организации получения им почты извне. Аналогично можно сделать пересылку TCP 80 и 443 для веб-сервера, TCP 20 и 21 для сервера FTP и даже замаскировать доступ к широко распространенным RDP (TCP 3389) и SSH (TCP 22) со стороны Интернет. **{{глава_5_-_межсетевой_экран_Image_8.jpg}}** ******Внимание!**** **Подмена TCP/UDP порта при трансляции адресов не может рассматриваться как защита от сетевых угроз. Для полноценной защиты следует не менять порт, а использовать предназначенные для этого антивирусные, криптографические средства и пр. ====== Фильтрация Ethernet-кадров ====== Система NETSHe имеет средства для фильтрации трафика на уровне Ethernet-кадров на сетевых мостах, доступные в меню «Сеть-> Фильтрация Ethernet кадров». {{глава_5_-_межсетевой_экран_Image_9.jpg}} **Внимание!** Вы не можете использовать данную возможность, если у Вас в системе не определен хотя бы один сетевой мост. Функция фильтрации трафика будет применяться только к трафику, попадающему на данный сетевой мост, который указан в настройках. Если в системе определено несколько мостов, настройки каждого из них будут располагаться на своей вкладке. Кроме фильтрации, доступны функции перенаправления кадров с IPv4 и (или) IPv6 пакетами на другой Ethernet интерфейс, создания brouter. Параметрами для настройки фильтрации являются: - Политики по умолчанию; - тип Ethernet-кадров (например, 802.3 фрейм); - содержимое Ethernet-кадров (протокол IPv4 либо IPv6, ARP запрос); - список MAC-адресов и (или) интерфейсов, для которых кадры следует отбросить; - Список правил (адрес назначения/маска/MAC-адрес) для перенаправления IP-пакетов на другие интерфейсы; - список интерфейсов для создания brouter. (По вопросам создания, настройки и использования brouter смотрите документацию по утилите //ebtables//.) Данный функционал может быть использован как в целях безопасности (заблокировать трафик устройств с определенными MAC-адресами), так и для решения сетевых проблем (проксирование широковещательного трафика ARP между сегментами сети). Задачи эти довольно специфичны, нет необходимости подробно их описывать в руководстве, обращенному к широкому кругу пользователей. Полный список применений этого и других свойств можно узнать в техподдержке на сайте [[http://www.netshe-lab.ru|http://www.netshe-lab.ru]]