Различия

Показаны различия между двумя версиями страницы.

--- vyos:firewall [2025/02/24 07:14] – [Пример настройки FW] admin
+++ vyos:firewall [2025/03/13 20:04] (текущий) – admin
@@ Строка 1: / Строка 1: @@
-**Для нормального функционирования системы, необходимо правило 1000, иначе не работают внутренние скрипты**
+===== Общие сведения о FW =====
-<code>
+**Для нормального функционирования системы, необходимо правило *1000*, иначе не работают внутренние скрипты**
-set firewall ipv4 input filter default-action 'drop'
-set firewall ipv4 input filter rule 1 action 'accept'
-set firewall ipv4 input filter rule 1 state 'established'
-set firewall ipv4 input filter rule 1 state 'related'
-set firewall ipv4 input filter rule 2 action 'accept'
-set firewall ipv4 input filter rule 2 source group address-group 'trust'
-set firewall ipv4 input filter rule 1000 action 'accept'
-set firewall ipv4 input filter rule 1000 destination address '127.0.0.1'
-set firewall ipv4 input filter rule 1000 protocol 'all'
-set firewall ipv4 input filter rule 1000 source address '127.0.0.1'
-</code>
 ===== Пример настройки FW =====
 <code>
+#### Input ####
 #Задаём группы адресов
 set firewall group address-group localnet address '172.16.15.1-172.16.15.14'
 set firewall group address-group trust address '1.1.1.1'
 set firewall group address-group trust include 'localnet'
 #Дефолтное правило - блокировать всё
 set firewall ipv4 input filter default-action 'drop'
-#Разрешаём всё что уже установило коннекты
+#Разрешаём established,related
 set firewall ipv4 input filter rule 1 action 'accept'
 set firewall ipv4 input filter rule 1 state 'established'
 set firewall ipv4 input filter rule 1 state 'related'
 #Разрешаем всё, что приходит с доверенных списков
 set firewall ipv4 input filter rule 2 action 'accept'
 set firewall ipv4 input filter rule 2 source group address-group 'trust'
-#Разрешаем порты 9990-9999 (для впн в моём случае)
+#Разрешаем порты 9990-9999 (для WG в моём случае)
 set firewall ipv4 input filter rule 3 action 'accept'
 set firewall ipv4 input filter rule 3 destination port '9990-9999'
 set firewall ipv4 input filter rule 3 protocol 'tcp_udp'
 #Разрешаем порт 1701 для L2TP
 set firewall ipv4 input filter rule 4 action 'accept'
 set firewall ipv4 input filter rule 4 destination port '1701'
 set firewall ipv4 input filter rule 4 protocol 'udp'
-#Разрешаем 80 и 443 порт для доверенных списков
-set firewall ipv4 input filter rule 5 action 'accept'
-set firewall ipv4 input filter rule 5 destination port '80,443'
-set firewall ipv4 input filter rule 5 protocol 'tcp_udp'
-set firewall ipv4 input filter rule 5 source group address-group 'trust'
 #Разрешаем общение localhost, для нормальной работы контейнеров, и скриптов python самой системы.
 set firewall ipv4 input filter rule 1000 action 'accept'
@@ Строка 47: / Строка 39: @@
 set firewall ipv4 input filter rule 1000 protocol 'all'
 set firewall ipv4 input filter rule 1000 source address '127.0.0.1'
+#### Forward ####
+#Дефолтное правило - блокировать всё
+set firewall ipv4 forward filter default-action 'drop'
+#Разрешаём established,related
+set firewall ipv4 forward filter rule 1 action 'accept'
+set firewall ipv4 forward filter rule 1 state 'established'
+set firewall ipv4 forward filter rule 1 state 'related'
+#Разрешаём прохождение трафика с доверенных адресов
+set firewall ipv4 forward filter rule 10 action 'accept'
+set firewall ipv4 forward filter rule 10 source group address-group 'trust'
 </code>