vyos:firewall

Общие сведения о FW

Для нормального функционирования системы, необходимо правило *1000*, иначе не работают внутренние скрипты

Пример настройки FW

#### Input ####
#Задаём группы адресов
set firewall group address-group localnet address '172.16.15.1-172.16.15.14' 
set firewall group address-group trust address '1.1.1.1' 
set firewall group address-group trust include 'localnet'

#Дефолтное правило - блокировать всё
set firewall ipv4 input filter default-action 'drop'

#Разрешаём established,related
set firewall ipv4 input filter rule 1 action 'accept'
set firewall ipv4 input filter rule 1 state 'established'
set firewall ipv4 input filter rule 1 state 'related'

#Разрешаем всё, что приходит с доверенных списков
set firewall ipv4 input filter rule 2 action 'accept'
set firewall ipv4 input filter rule 2 source group address-group 'trust'

#Разрешаем порты 9990-9999 (для WG в моём случае)
set firewall ipv4 input filter rule 3 action 'accept'
set firewall ipv4 input filter rule 3 destination port '9990-9999'
set firewall ipv4 input filter rule 3 protocol 'tcp_udp'

#Разрешаем порт 1701 для L2TP
set firewall ipv4 input filter rule 4 action 'accept'
set firewall ipv4 input filter rule 4 destination port '1701'
set firewall ipv4 input filter rule 4 protocol 'udp'

#Разрешаем общение localhost, для нормальной работы контейнеров, и скриптов python самой системы.
set firewall ipv4 input filter rule 1000 action 'accept'
set firewall ipv4 input filter rule 1000 destination address '127.0.0.1'
set firewall ipv4 input filter rule 1000 protocol 'all'
set firewall ipv4 input filter rule 1000 source address '127.0.0.1'

#### Forward ####
#Дефолтное правило - блокировать всё
set firewall ipv4 forward filter default-action 'drop'

#Разрешаём established,related
set firewall ipv4 forward filter rule 1 action 'accept'
set firewall ipv4 forward filter rule 1 state 'established'
set firewall ipv4 forward filter rule 1 state 'related'

#Разрешаём прохождение трафика с доверенных адресов
set firewall ipv4 forward filter rule 10 action 'accept'
set firewall ipv4 forward filter rule 10 source group address-group 'trust'