Вбудований міжмережевий екран (firewall, брандмауер) є невід'ємною частиною драйвера NAT UserGate і призначений для обробки мережевого трафіку відповідно до заданого набором правил.
Правило брандмауера можна створити на сторінці Брандмауер - Правила в консолі адміністрування.
Перша сторінка правила виглядає наступним чином:
Так як міжмережевий екран працює з трафіком, що йде в певному напрямку, при створенні правила необхідно визначити, з яким з потоків воно буде працювати, вибравши відповідні джерело (інтерфейс, з якого потік приходить) і призначення (інтерфейс, на який спрямований потік).
Джерело та призначення вибираються на першій і другій сторінках правила відповідно. В якості одного з них можна встановити або інтерфейсу комп'ютера, або вибрати з існуючих, або створити новий.
Доступні опції правила, які знаходяться на третій і четвертій сторінці, визначаються типом правила.
Тип правила брандмауера визначається автоматично, в залежності від зазначених параметрів джерела і призначення. Міжмережевий екран підтримує такі типи правил:
- Трансляції (NAT). Визначається, якщо джерелом сигналу обрано інтерфейс LAN, як призначення - інтерфейс WAN.
- Маршрутизації (Routing). Визначається, якщо в якості джерела і призначення обрані два LAN-інтерфейсу.
- Брандмауера (Firewall). Даний тип матимуть інші варіанти створюваних правил, які визначать, які пакети потрібно відфільтрувати за допомогою брандмауера.
Правила проглядаються в порядку пріоритету. Чим вище правило в списку, тим вище його пріоритет і тим раніше воно буде оброблятися. Правила можна переміщати по списку, тим самим змінюючи їх пріоритет.
Сервіси, які використовуються в UserGate - такі як проксі-сервер або призначення портів, автоматично створюють дозволяють правила брандмауера. Наприклад, при включенні проксі-сервера буде створено правило, яке забезпечує проходження запитів на порт проксі-сервера. Видалити таке правило можна, тільки вимкнувши відповідний інтерфейс. Адміністратор UserGate може перекрити дозволяє автоматичне правило, створивши відповідну забороняє правило і помістивши його в самому верху списку правил.
За замовчуванням в межсетевом екрані присутній правило # NONUSER #. що дозволяє дозволити або заборонити весь трафік, що надходить на сервер з мережі Інтернет. Якщо для цього правила обрання "Заборонити", то міжмережевий екран UserGate блокуватиме всі вхідні і вихідні мережеві пакети, окрім транзитних з локальної мережі в мережу Інтернет і назад. Такий варіант настройки є оптимальним, якщо UserGate встановлений на окремий комп'ютер.
Правило # NONUSER # має найнижчий пріоритет, і змінити його не можна.
Для цього типу правила третя сторінка виглядає наступним чином:
Тут потрібно вибрати із запропонованих або створити новий сервіс, який необхідно дозволити.
Важливо! Для правил типу NAT автоматично визначається дія "Дозволити", яке дозволяє пропускати трафік тільки відповідних сервісів.
Створення нових сервісів може знадобитися, наприклад, якщо необхідно забезпечити доступ на той порт протоколу, якого немає в стандартних сервісах.
На четвертій сторінці можна відразу вибрати користувача або групу користувачів, до яких буде застосовано правило.
Правила NAT можна використовувати і в тому випадку, якщо є всього лише одна мережева карта. Як це зробити, можна прочитати тут.
Детальніше про створення NAT-правила можна прочитати тут.
Якщо комп'ютер з UserGate підключений до декількох локальних мереж, сервер UserGate можна налаштувати як маршрутизатор, забезпечивши прозору двосторонню зв'язок між цими мережами. Правила маршрутизації налаштовуються між будь-якою парою LAN-інтерфейсів.
На четвертій сторінці також не буде доступна жодна опція.
Детальніше про створення правил маршрутизації можна прочитати тут.
Важливо! Для маршрутизації не ведеться підрахунок трафіку.
Правила брандмауера (firewall)
Для цього типу правила третя сторінка виглядає так само, як і для правила NAT.
Однак, опції, доступні на четвертій сторінки, залежать від кількості обраних сервісів і від певних джерела і призначення.
У загальному випадку, четверта сторінка виглядає наступним чином:
Даний тип правил - єдиний, який дозволяє вибрати заборонити або дозволити трафік. Після створення правила дію (Увімкнути або Вимкнути) можна буде поміняти, клацнувши один раз лівою кнопкою миші по значку навпроти назви правила.
Як отримати інформацію про роботу правил, Ви можете прочитати тут.