Различия

Показаны различия между двумя версиями страницы.

--- vyos:firewall [2025/03/09 20:19] – admin
+++ vyos:firewall [2025/03/15 21:46] (текущий) – admin
@@ Строка 1: / Строка 1: @@
+===== Общие сведения о FW =====
 **Для нормального функционирования системы, необходимо правило *1000*, иначе не работают внутренние скрипты**
-  *Минимальный набор правил для работы нормально закрытого FW:
+Общий план прохождения пакетов:
+{{ :vyos:firewall-gral-packet-flow.webp |}}
-<code>
-set firewall group address-group trust address '**доверенный адрес**' #Внешний адрес, с которого возможны подключения
-set firewall group address-group localnet include '**адреса локалки**' #Пулы записываются не вида 192.168.0/24, а вида 192.168.1.1-192.168.1.254
-set firewall group address-group trust include 'localnet'
-set firewall ipv4 input filter default-action 'drop'
-set firewall ipv4 input filter rule 1 action 'accept'
-set firewall ipv4 input filter rule 1 state 'established'
-set firewall ipv4 input filter rule 1 state 'related'
-set firewall ipv4 input filter rule 2 action 'accept'
-set firewall ipv4 input filter rule 2 source group address-group 'trust'
-set firewall ipv4 input filter rule 1000 action 'accept'
-set firewall ipv4 input filter rule 1000 destination address '127.0.0.1'
-set firewall ipv4 input filter rule 1000 protocol 'all'
-set firewall ipv4 input filter rule 1000 source address '127.0.0.1'
-set firewall ipv4 input filter default-action 'drop'
-</code>
 ===== Пример настройки FW =====
 <code>
+#### Input ####
 #Задаём группы адресов
 set firewall group address-group localnet address '172.16.15.1-172.16.15.14'
@@ Строка 31: / Строка 17: @@
 set firewall ipv4 input filter default-action 'drop'
-#Разрешаём всё что уже установило коннекты
+#Разрешаём established,related
 set firewall ipv4 input filter rule 1 action 'accept'
 set firewall ipv4 input filter rule 1 state 'established'
@@ Строка 40: / Строка 26: @@
 set firewall ipv4 input filter rule 2 source group address-group 'trust'
-#Разрешаем порты 9990-9999 (для впн в моём случае)
+#Разрешаем порты 9990-9999 (для WG в моём случае)
 set firewall ipv4 input filter rule 3 action 'accept'
 set firewall ipv4 input filter rule 3 destination port '9990-9999'
@@ Строка 49: / Строка 35: @@
 set firewall ipv4 input filter rule 4 destination port '1701'
 set firewall ipv4 input filter rule 4 protocol 'udp'
-#Разрешаем 80 и 443 порт для доверенных списков
-set firewall ipv4 input filter rule 5 action 'accept'
-set firewall ipv4 input filter rule 5 destination port '80,443'
-set firewall ipv4 input filter rule 5 protocol 'tcp_udp'
-set firewall ipv4 input filter rule 5 source group address-group 'trust'
 #Разрешаем общение localhost, для нормальной работы контейнеров, и скриптов python самой системы.
@@ Строка 61: / Строка 41: @@
 set firewall ipv4 input filter rule 1000 protocol 'all'
 set firewall ipv4 input filter rule 1000 source address '127.0.0.1'
+#### Forward ####
+#Дефолтное правило - блокировать всё
+set firewall ipv4 forward filter default-action 'drop'
+#Разрешаём established,related
+set firewall ipv4 forward filter rule 1 action 'accept'
+set firewall ipv4 forward filter rule 1 state 'established'
+set firewall ipv4 forward filter rule 1 state 'related'
+#Разрешаём прохождение трафика с доверенных адресов
+set firewall ipv4 forward filter rule 10 action 'accept'
+set firewall ipv4 forward filter rule 10 source group address-group 'trust'
 </code>