kit tips

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: start » vyos » firewall
vyos:firewall

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
vyos:firewall [2025/02/24 07:03] adminvyos:firewall [2025/03/15 21:46] (текущий) admin
Строка 1: Строка 1:
-**Для нормального функционирования системы, необходимо правило 1000, иначе не работают внутренние скрипты**+===== Общие сведения о FW ===== 
 +**Для нормального функционирования системы, необходимо правило *1000*, иначе не работают внутренние скрипты** 
 + 
 +Общий план прохождения пакетов: 
 +{{ :vyos:firewall-gral-packet-flow.webp |}} 
 + 
 +===== Пример настройки FW ===== 
 <code> <code>
 +#### Input ####
 +#Задаём группы адресов
 +set firewall group address-group localnet address '172.16.15.1-172.16.15.14' 
 +set firewall group address-group trust address '1.1.1.1' 
 +set firewall group address-group trust include 'localnet'
 +
 +#Дефолтное правило - блокировать всё
 set firewall ipv4 input filter default-action 'drop' set firewall ipv4 input filter default-action 'drop'
 +
 +#Разрешаём established,related
 set firewall ipv4 input filter rule 1 action 'accept' set firewall ipv4 input filter rule 1 action 'accept'
 set firewall ipv4 input filter rule 1 state 'established' set firewall ipv4 input filter rule 1 state 'established'
 set firewall ipv4 input filter rule 1 state 'related' set firewall ipv4 input filter rule 1 state 'related'
 +
 +#Разрешаем всё, что приходит с доверенных списков
 set firewall ipv4 input filter rule 2 action 'accept' set firewall ipv4 input filter rule 2 action 'accept'
 set firewall ipv4 input filter rule 2 source group address-group 'trust' set firewall ipv4 input filter rule 2 source group address-group 'trust'
 +
 +#Разрешаем порты 9990-9999 (для WG в моём случае)
 +set firewall ipv4 input filter rule 3 action 'accept'
 +set firewall ipv4 input filter rule 3 destination port '9990-9999'
 +set firewall ipv4 input filter rule 3 protocol 'tcp_udp'
 +
 +#Разрешаем порт 1701 для L2TP
 +set firewall ipv4 input filter rule 4 action 'accept'
 +set firewall ipv4 input filter rule 4 destination port '1701'
 +set firewall ipv4 input filter rule 4 protocol 'udp'
 +
 +#Разрешаем общение localhost, для нормальной работы контейнеров, и скриптов python самой системы.
 set firewall ipv4 input filter rule 1000 action 'accept' set firewall ipv4 input filter rule 1000 action 'accept'
 set firewall ipv4 input filter rule 1000 destination address '127.0.0.1' set firewall ipv4 input filter rule 1000 destination address '127.0.0.1'
 set firewall ipv4 input filter rule 1000 protocol 'all' set firewall ipv4 input filter rule 1000 protocol 'all'
 set firewall ipv4 input filter rule 1000 source address '127.0.0.1' set firewall ipv4 input filter rule 1000 source address '127.0.0.1'
-</code> 
  
-===== Пример настройки FW =====+#### Forward #### 
 +ефолтное правило - блокировать всё 
 +set firewall ipv4 forward filter default-action 'drop'
  
 +#Разрешаём established,related
 +set firewall ipv4 forward filter rule 1 action 'accept'
 +set firewall ipv4 forward filter rule 1 state 'established'
 +set firewall ipv4 forward filter rule 1 state 'related'
 +
 +#Разрешаём прохождение трафика с доверенных адресов
 +set firewall ipv4 forward filter rule 10 action 'accept'
 +set firewall ipv4 forward filter rule 10 source group address-group 'trust'
 +
 +</code>
vyos/firewall.1740380596.txt.gz · Последнее изменение: admin