การตั้งค่าไฟร์วอลล์
ใช้ข้อมูลนี้ในการตั้งค่าการกำหนดค่าของไฟร์วอลล์
ตั้งค่าไฟร์วอลล์เริ่มต้น
ส่วนเริ่มต้นระบุการตั้งค่าไฟร์วอลล์ส่วนกลางซึ่งไม่ได้อยู่ในโซนเฉพาะ
รูปแบบคำสั่ง
|
| ชื่อ | รุ่น | ต้องระบุ | ค่าเริ่มต้น | รายละเอียด |
|---|---|---|---|---|
input | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ INPUT ของตารางตัวกรอง |
output | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ OUTPUT ของตารางตัวกรอง |
forward | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ FORWARD ของตารางตัวกรอง |
syn_flood | บูลีน | ไม่ | 0 | เปิดใช้งานการป้องกัน SYN Flood (ยกเลิกโดยการตั้งค่า synflood_protect) |
drop_invalid | บูลีน | ไม่ | 0 | ยกเลิกแพ็คเก็ตที่ไม่ถูกต้อง (เช่น ไม่ตรงกับการเชื่อมต่อที่ใช้งานอยู่) |
ตัวอย่างคำสั่ง:
|
เพิ่มโซนใหม่
ส่วนนี้จะกำหนดคุณสมบัติทั่วไปของ การทดสอบ
ตัวเลือกอินพุตและเอาต์พุตจะกำหนดนโยบายเริ่มต้นสำหรับการรับส่งข้อมูลที่เข้าและออกจากโซนนี้ ขณะที่ตัวเลือกส่งต่อจะอธิบายนโยบายสำหรับการรับส่งข้อมูลที่ส่งต่อระหว่างเครือข่ายต่างๆ ภายในโซน เครือข่ายที่ครอบคลุมจะระบุว่าเครือข่ายที่มีเครือข่ายใดที่เป็นสมาชิกของโซนนี้
รูปแบบคำสั่ง
|
พารามิเตอร์ | รุ่น | ต้องระบุ | ค่าเริ่มต้น | รายละเอียด |
|---|---|---|---|---|
ชื่อ | ชื่อโซน | ใช่ | ไม่มี | ชื่อโซนที่ไม่ซ้ำกัน ความยาวชื่อโซนไฟร์วอลล์ที่ทำงานสูงสุดคือ 11 อักขระ |
input | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ INPUT ของตารางตัวกรอง |
output | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ OUTPUT ของตารางตัวกรอง |
forward | สตริง | ไม่ | ปฏิเสธ | ตั้งค่านโยบายสำหรับสายโซ่ FORWARD ของตารางตัวกรอง |
masq | บูลีน | ไม่ | 0 | ระบุว่าควรพรางการรับส่งข้อมูลโซนขาออกหรือไม่ ซึ่งปกติแล้วจะเปิดใช้งานบนโซน wan |
mtu_fix | บูลีน | ไม่ | 0 | เปิดใช้งานการรับส่งข้อมูลโซนขาออกการแคลมป์ MSS |
เครือข่าย | รายการ | ไม่ | ไม่มี | รายการอินเทอร์เฟซที่เชื่อมต่อกับโซนนี้ หากเว้นว่างและไม่มีตัวเลือกเพิ่มเติม* ไม่ระบุซับเน็ตหรืออุปกรณ์ ค่าของชื่อจะถูกใช้งานตามค่าเริ่มต้น ไม่สามารถใช้อินเทอร์เฟซนามแฝงที่กำหนดในการกำหนดค่าเครือข่ายเป็นเครือข่าย 'standalone' ที่ถูกต้อง ใช้รูปแบบคำสั่งรายการตามที่อธิบายใน uci |
family | สตริง | ไม่ | 0 | Protocol Family (ipv4, ipv6 หรือใดๆ ก็ได้) เพื่อสร้างกฎ iptables |
masq_src | รายการซับเน็ต | ไม่ | 0.0.0.0/0 | จำกัดการพรางไว้ที่ซับเน็ตต้นทางที่ระบุ สามารถปฏิเสธได้โดยเติมคำนำหน้าซับเน็ตด้วย !; โดยอนุญาตให้ใช้ได้หลายซับเน็ต |
masq_dest | รายการซับเน็ต | ไม่ | 0.0.0.0/0 | จำกัดการพรางไว้ที่ซับเน็ตปลายทางที่ระบุ สามารถปฏิเสธได้โดยเติมคำนำหน้าซับเน็ตด้วย !; โดยอนุญาตให้ใช้ได้หลายซับเน็ต |
conntrack | บูลีน | ไม่ | 1 หากใช้การพราง 0 หากไม่ใช้ | บังคับการติดตามการเชื่อมต่อสำหรับโซนนี้ (ดูที่หมายเหตุเกี่ยวกับการติดตามการเชื่อมต่อ) |
บันทึก | บูลีน | ไม่ | 0 | สร้างกฎการบันทึกสำหรับการรับส่งข้อมูลที่ปฏิเสธและยกเลิกในโซนนี้ |
log_limit | สตริง | ไม่ | 10/นาที | จำกัดจำนวนข้อความบันทึกต่อช่วงเวลา |
ตัวอย่างคำสั่ง:
|
เพิ่มการส่งต่อใหม่
ส่วนการส่งต่อจะควบคุมการโฟลว์ของการรับส่งข้อมูลระหว่างโซนและอาจเปิดใช้งานการแคลมป์ MSS สำหรับทิศทางที่เฉพาะเจาะจง กฎการส่งต่อครอบคลุมเพียงทิศทางเดียวเท่านั้น ในการอนุญาตให้มีการโฟลว์ของการรับส่งข้อมูลแบบสองทิศทางระหว่างสองโซน จำเป็นต้องมีการส่งต่อสองรายการ โดยที่ src และ dest ย้อนกลับในแต่ละทิศทาง
รูปแบบคำสั่ง
|
| พารามิเตอร์ | รุ่น | ต้องระบุ | ค่าเริ่มต้น | รายละเอียด |
|---|---|---|---|---|
src | ชื่อโซน | ใช่ | ไม่มี | ระบุโซนต้นทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง |
dest | ชื่อโซน | ใช่ | ไม่มี | ระบุโซนปลายทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง |
ตัวอย่างคำสั่ง:
|
เพิ่มการส่งต่อพอร์ตใหม่
การส่งต่อพอร์ต (DNAT) ถูกกำหนดโดยส่วนเปลี่ยนเส้นทาง การรับส่งข้อมูลขาเข้าทั้งหมดบนโซนต้นทางที่ระบุ ซึ่งตรงกับกฎที่ระบุจะถูกนำทางไปยังโฮสต์ภายในที่ระบุ การเปลี่ยนเส้นทางยังเรียกว่า “การส่งต่อพอร์ต” และ “เซิร์ฟเวอร์เสมือน” ได้ด้วย มีการระบุช่วงพอร์ตเป็นเริ่มต้น:หยุด เช่น 6666:6670 ซึ่งคล้ายคลึงกับรูปแบบคำสั่ง iptables
รูปแบบคำสั่ง
|
| พารามิเตอร์ | รุ่น | ต้องระบุ | ค่าเริ่มต้น | รายละเอียด |
|---|---|---|---|---|
ถูกเปิดใช้งาน | สตริง | ไม่ | 1หรือใช่ | เปิดใช้งานกฎการเปลี่ยนเส้นทางหรือไม่ |
ชื่อ | สตริง | ไม่ | ไม่มี | ชื่อการเปลี่ยนเส้นทางที่ไม่ซ้ำกัน |
proto | ชื่อหรือหมายเลขโปรโตคอล | ใช่ | tcp udp | จับคู่การรับส่งข้อมูลขาเข้าโดยใช้โปรโตคอลที่ระบุ |
src | ชื่อโซน | ไม่ | ใช่สำหรับเป้าหมาย DNAT | ระบุโซนต้นทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง สำหรับการส่งต่อพอร์ตทั่วไปนี้มักจะเป็น wan |
src_mac | ที่อยู่ Mac | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าจากที่อยู่ Mac ที่ระบุ |
src_ip | ที่อยู่ IP | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าจากที่อยู่ IP ต้นทางที่ระบุ |
src_port | พอร์ตหรือช่วง | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าที่มาจากพอร์ตต้นทางที่ระบุหรือช่วงพอร์ต (เช่น: '5000-5100') บนโฮสต์ไคลเอ็นต์ |
src_dip | ที่อยู่ IP | ใช่สำหรับเป้าหมาย SNAT | ไม่มี | สำหรับ DNAT จับคู่การรับส่งข้อมูลขาเข้าที่กำหนดเส้นทางที่ที่อยู่ IP ปลายทางที่ระบุ สำหรับ SNAT เขียนที่อยู่ต้นทางใหม่เป็นที่อยู่ที่ระบุ |
src_dport | พอร์ตหรือช่วง | ไม่ | ไม่มี | สำหรับ DNAT จับคู่การรับส่งข้อมูลขาเข้าที่กำหนดเส้นทางที่พอร์ตปลายทางที่ระบุหรือช่วงพอร์ต (เช่น '5000-5100') บนโฮสต์นี้ สำหรับ SNAT เขียนพอร์ตต้นทางใหม่เป็นค่าที่ระบุ |
dest | ชื่อโซน | ใช่สำหรับเป้าหมาย SNAT | ไม่มี | ระบุโซนปลายทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง สำหรับเป้าหมาย DNAT บน Attitude Adjustment, NAT Reflection จะทำงานก็ต่อเมื่อค่านี้เท่ากับ lan เท่านั้น |
dest_ip | ที่อยู่ IP | ใช่สำหรับเป้าหมาย DNAT | ไม่มี | สำหรับ DNAT เปลี่ยนเส้นทางการรับส่งข้อมูลขาเข้าที่ตรงกันไปยังโฮสต์ภายในที่ระบุ สำหรับ SNAT จับคู่การรับส่งข้อมูลที่กำหนดเส้นทางที่ที่อยู่ที่ระบุ สำหรับ DNAT หากค่า dest_ip ตรงกับที่อยู่ IP ภายในของเราเตอร์ ตามที่แสดงใน ifconfig แล้วกฎจะได้รับการแปลในกฎ DNAT + input 'accept' ไม่เช่นนั้นจะเป็นกฎ DNAT + forward |
dest_port | พอร์ตหรือช่วง | ไม่ | ไม่มี | สำหรับ DNAT เปลี่ยนเส้นทางการรับส่งข้อมูลขาเข้าที่ตรงกันไปยังพอร์ตที่ระบุบนโฮสต์ภายใน สำหรับ SNAT จับคู่การรับส่งข้อมูลที่กำหนดเส้นทางที่พอร์ตที่ระบุ สามารถระบุได้เฉพาะพอร์ตหรือช่วงเดียวเท่านั้น (เช่น '5000-5100') ไม่ใช่พอร์ตที่แตกต่างกันที่มีกฎ (ด้านล่าง) |
Reflection | บูลีน | ไม่ | 1 | เปิดใช้งาน NAT Reflection สำหรับการเปลี่ยนเส้นทาง ซึ่งใช้ได้กับเป้าหมาย DNAT |
ตัวอย่างคำสั่ง:
|
เพิ่มกฎการรับส่งข้อมูลใหม่
การส่งต่อพอร์ต (DNAT) ถูกกำหนดโดยส่วนเปลี่ยนเส้นทาง การรับส่งข้อมูลขาเข้าทั้งหมดบนโซนต้นทางที่ระบุ ซึ่งตรงกับกฎที่ระบุจะถูกนำทางไปยังโฮสต์ภายในที่ระบุ การเปลี่ยนเส้นทางยังเรียกว่า การส่งต่อพอร์ต
และ เซิร์ฟเวอร์เสมือน
ได้ด้วย มีการระบุช่วงพอร์ตเป็นเริ่มต้น:หยุด เช่น 6666:6670 ซึ่งคล้ายคลึงกับรูปแบบคำสั่ง iptables
รูปแบบคำสั่ง
|
| พารามิเตอร์ | รุ่น | จำเป็น | ค่าเริ่มต้น | รายละเอียด |
|---|---|---|---|---|
ถูกเปิดใช้งาน | บูลีน | ไม่ | ใช่ | เปิดใช้งานหรือปิดใช้งานกฎ |
ชื่อ | สตริง | ไม่ | ไม่มี | ชื่อกฎที่ไม่ซ้ำกัน |
family | สตริง | ไม่ | ใดๆ | Protocol Family (ipv4, ipv6 หรือใดๆ ก็ได้) เพื่อสร้างกฎ iptables |
proto | ชื่อหรือหมายเลขโปรโตคอล | ไม่ | tcp udp | จับคู่การรับส่งข้อมูลขาเข้าโดยใช้โปรโตคอลที่ระบุ อาจเป็น tcp, udp, tcpudp, udplite, icmp, esp, ah, sctp รายการใดรายการหนึ่งหรือทั้งหมด หรืออาจเป็นค่าตัวเลขที่แสดงถึงหนึ่งในโปรโตคอลเหล่านี้หรือโปรโตคอลอื่น นอกจากนี้ยังใช้ชื่อโปรโตคอลจาก /etc/protocols ได้ด้วย หมายเลข 0 เทียบเท่ากับทั้งหมด |
src | ชื่อโซน | ใช่ (ไม่บังคับ ตั้งแต่ Firewall v2, เวอร์ชัน 58 และสูงกว่า) | ไม่มี | ระบุโซนต้นทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง |
src_mac | ที่อยู่ Mac | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าจากที่อยู่ Mac ที่ระบุ |
src_ip | ที่อยู่ IP | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าจากที่อยู่ IP ต้นทางที่ระบุ |
src_port | พอร์ตหรือช่วง | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าจากพอร์ตต้นทางที่ระบุหรือช่วงพอร์ต (เช่น '5000:5100', ช่วงพอร์ตไม่ได้นำไปใช้กับโปรโตคอลทั้งหมด) หากมีการระบุ proto ที่เกี่ยวข้อง สามารถระบุพอร์ตได้หลายพอร์ต เช่น '80 443 465' 1 |
dest | ชื่อโซน | ไม่ | ไม่มี | ระบุโซนปลายทางของการรับส่งข้อมูล ต้องอ้างอิงจากชื่อโซนที่กำหนดชื่อใดชื่อหนึ่ง หรือ * สำหรับโซนใดๆ ก็ได้ หากมีการระบุ กฎจะใช้กับการรับส่งข้อมูลที่ส่งต่อ ไม่เช่นนั้น ระบบจะถือว่าเป็นกฎ input |
dest_ip | ที่อยู่ IP | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าที่กำหนดเส้นทางไปยังที่อยู่ IP ปลายทางที่ระบุ เมื่อไม่มีโซน dest ระบบจะถือว่าเป็นกฎ input |
dest_port | พอร์ตหรือช่วง | ไม่ | ไม่มี | จับคู่การรับส่งข้อมูลขาเข้าที่กำหนดเส้นทางที่พอร์ตปลายทางที่ระบุหรือช่วงพอร์ต (เช่น '5000:5100', ช่วงพอร์ตไม่ได้นำไปใช้กับโปรโตคอลทั้งหมด) หากมีการระบุ proto ที่เกี่ยวข้อง สามารถระบุพอร์ตได้หลายพอร์ต เช่น '80 443 465' 1 |
เป้าหมาย | สตริง | ใช่ | DROP | เปิดใช้งาน NAT Reflection สำหรับการเปลี่ยนเส้นทาง ซึ่งใช้ได้กับเป้าหมาย DNAT |
weekdays | รายการวันในสัปดาห์ | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลระหว่างวันในสัปดาห์ที่ระบุ เช่น sun mon thu fri เพื่อจับคู่กับ sundays, mondays, thursdays และ fridays เท่านั้น สามารถกลับค่ารายการโดยใส่เครื่องหมายอัศเจรีย์นำหน้า เช่น ! sat sun เพื่อให้จับคู่ให้ตรงกันเสมอ ยกเว้น saturdays และ sundays |
monthdays | รายการวันที่ | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลระหว่างวันที่ระบุของเดือน เช่น 2 5 30 เพื่อจับคู่กับทุกๆ วันที่ 2, 5 และ 30 ของเดือนเท่านั้น สามารถกลับค่ารายการโดยใส่เครื่องหมายอัศเจรีย์นำหน้า เช่น ! 31 เพื่อให้จับคู่ให้ตรงกันเสมอ ยกเว้นวันที่ 31 ของเดือน |
start_time | เวลา (hh:mm:ss) | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลหลังเวลาที่ระบุของวันเท่านั้น (รวม) |
stop_time | เวลา (hh:mm:ss) | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลก่อนเวลาที่ระบุของวันเท่านั้น (รวม) |
start_date | วันที่ (yyyy-mm-dd) | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลหลังวันที่ที่ระบุเท่านั้น (รวม) |
stop_date | วันที่ (yyyy-mm-dd) | ไม่ | (เสมอ) | หากมีการระบุ จับคู่เฉพาะการรับส่งข้อมูลก่อนวันที่ที่ระบุเท่านั้น (รวม) |
utc_time | บูลีน | ไม่ | 0 | ถือว่าค่าเวลาที่ระบุทั้งหมดเป็นเวลา UTC แทนเวลาท้องถิ่น |
ตัวอย่างคำสั่ง:
|
เพิ่ม NAT ต้นทางใหม่
NAT ต้นทางเปลี่ยนแพ็คเก็ตขาออกเพื่อให้ดูเหมือนว่าระบบสวิตช์แบบฝังตัวเป็นต้นทางของแพ็คเก็ต
กำหนด NAT ต้นทางสำหรับการรับส่งข้อมูล UDP และ TCP ที่กำหนดเส้นทางไปยังพอร์ต 123 ที่มาจากโฮสต์ที่มีที่อยู่ IP 10.55.34.85 ที่อยู่ต้นทางถูกเขียนใหม่เป็น 63.240.161.99:
|