kit tips

Для нормального функционирования системы, необходимо правило *1000*, иначе не работают внутренние скрипты

#Задаём группы адресов
set firewall group address-group localnet address '172.16.15.1-172.16.15.14' 
set firewall group address-group trust address '1.1.1.1' 
set firewall group address-group trust include 'localnet'

#Дефолтное правило - блокировать всё
set firewall ipv4 input filter default-action 'drop'

#Разрешаём всё что уже установило коннекты
set firewall ipv4 input filter rule 1 action 'accept'
set firewall ipv4 input filter rule 1 state 'established'
set firewall ipv4 input filter rule 1 state 'related'

#Разрешаем всё, что приходит с доверенных списков
set firewall ipv4 input filter rule 2 action 'accept'
set firewall ipv4 input filter rule 2 source group address-group 'trust'

#Разрешаем порты 9990-9999 (для впн в моём случае)
set firewall ipv4 input filter rule 3 action 'accept'
set firewall ipv4 input filter rule 3 destination port '9990-9999'
set firewall ipv4 input filter rule 3 protocol 'tcp_udp'

#Разрешаем порт 1701 для L2TP
set firewall ipv4 input filter rule 4 action 'accept'
set firewall ipv4 input filter rule 4 destination port '1701'
set firewall ipv4 input filter rule 4 protocol 'udp'

#Разрешаем 80 и 443 порт для доверенных списков
set firewall ipv4 input filter rule 5 action 'accept'
set firewall ipv4 input filter rule 5 destination port '80,443'
set firewall ipv4 input filter rule 5 protocol 'tcp_udp'
set firewall ipv4 input filter rule 5 source group address-group 'trust'

#Разрешаем общение localhost, для нормальной работы контейнеров, и скриптов python самой системы.
set firewall ipv4 input filter rule 1000 action 'accept'
set firewall ipv4 input filter rule 1000 destination address '127.0.0.1'
set firewall ipv4 input filter rule 1000 protocol 'all'
set firewall ipv4 input filter rule 1000 source address '127.0.0.1'