Одной из основных функций ARMA FW является фильтрация трафика с помощью встроенного межсетевого экрана.
На рисунке (см. Рисунок – Пример использования МЭ) представлен стенд, в рамках которого будут создаваться правила МЭ. Необходимо получить доступ с ПК «Admin» к веб-серверу «WebServer» по протоколам HTTP и HTTPS.
Для проверки доступа необходимо открыть веб-браузер на ПК «Admin», ввести в адресной строке «192.168.2.100» и нажать клавишу «ENTER». В результате откроется страница, указывающая на отсутствие доступа к веб-серверу (см. Рисунок – Недоступность веб-сервера).
Перед созданием правил МЭ важно понимать алгоритм их работы.
Правила МЭ задаются отдельно для каждого сетевого интерфейса и располагаются в виде списка (см. Рисунок – Список правил). По умолчанию предусмотрены автоматически сгенерированные правила (см. «Перечень автоматически сгенерированных правил»). Для их просмотра необходимо нажать кнопку «» в верхней правой части страницы.
Порядок правил в списке имеет значение и им можно управлять с помощью кнопки «» напротив каждого из созданных правил. Сетевой пакет проверяется на совпадение с критериями правил по порядку, сверху вниз.
Возможны два принципа совпадения:
первого совпадения – сразу выполняется действие, указанное в первом совпавшем правиле, далее обработка сетевого пакета не производится;
последнего совпадения – выполняется действие, указанное в последнем совпавшем правиле, далее обработка сетевого пакета не производится.
Рисунок – Порядок применения правил для интерфейсов
По умолчанию во всех создаваемых правилах параметр «Направление» содержит значение «Вх.» – «Входящий трафик». Следует понимать, что это значение для интерфейса, первоначально принимающего трафик. Применение правил МЭ для исходящего трафика используется редко и для специфических целей.
В правиле возможны три действия над пакетом трафика:
разрешить, «Pass» – разрешить движение пакета;
блокировать, «Drop» – отбросить пакет;
отклонить, «Reject» – отбросить пакет и отправить уведомление отправителю.
При выборе в поле параметра «Действие» значения «Блокировать (Drop)» или «Отклонить (Reject)» дополнительно появится параметр «Сбрасывать установленные состояния».
В случае установки флажка для параметра «Сбрасывать установленные состояния» созданное правило будет срабатывать даже в условиях непрерывного трафика. При этом произойдёт сброс всех записей в таблице состояний, относящихся к хосту, с которого был отправлен запрещённый пакет.
Перечень автоматически сгенерированных правил МЭ. Раздел «[Общие]»:
1 – «Default deny rule» – правило отбрасывает трафик, если для него не сработало ни одно из разрешающих правил. Правило работает по принципу «последнее совпадение». То есть, если правила №13 и №14, находящиеся ниже в таблице тоже работают по принципу «последнее совпадение», или любое из «мгновенно применяемых правил» сработают, то такой трафик не будет отброшен. Во всех остальных случаях будет использовано это правило;
2, 3, 4, 5, 6 – «IPv6 requirements (ICMP)» – правила разрешают отправлять трафик по протоколу IPv6-ICMP с ARMA FW в локальную сеть «fe80::/10» и для групповой рассылки на адрес «ff02::/16» (правило №3) и в обратном направлении (все кроме, правила №3);
7 – «Block all targetting from port 0» – правило блокирует все соединения с портом отправителя 0;
8 – «Block all targetting to port 0» – правило блокирует все соединения с портом получателя 0;
9 – «Allow CARP connection» – правило разрешает весь трафик CARP в двух направлениях. Правило не сработает, если CARP на устройстве выключен;
10, 11, 12 – «sshlockout», «webConfiguratorlockout», «virusprot overload table» – правила блокируют списки адресов/сетей из псевдонимов: «sshlockout», «webConfiguratorlockout», «virusprot». Для срабатывания необходимо в разделе псевдонимов создать соответствующий псевдоним, например, «virusprot» и заполнить поля таблицы в pfTabl («Межсетевой экран» - «Диагностика» - «pfTables»);
13 – «Let out anything from firewall host itself» – правило разрешает исходящий с ARMA FW трафик;
14 – «Let out anything from firewall host itself (force gw)» – правило разрешает исходящий с ARMA FW трафик (принудительно для WAN-шлюза).
Автоматически сгенерированное правило МЭ. Раздел «[LAN]»:
1 – «Anti-lockout rule» – правило разрешает доступ к ARMA FW по HTTP(S) и SSH соединению.
Перечень автоматически сгенерированных правил МЭ. Раздел «[WAN]»:
1,2 – «Allow dhcpv6 client in WAN» – правила разрешают входящий трафик по протоколу DHCP;
3 – «Allow dhcpv6 client out WAN» – правило разрешает исходящий трафик по протоколу DHCP;
4 – «Block bogon IPv4 networks from WAN» – правило блокирует IP-адреса Bogon-сетей IPv4;
5 – «Block bogon IPv6 networks from WAN» – правило блокирует IP-адреса Bogon-сетей IPv6;
6,7 – «Block private networks from WAN» – правила блокируют трафик, если адрес отправителя из локального сегмента адресов IPv4/IPv6;
8,9 – «Allow DHCP client on WAN» – правила разрешают двусторонний обмен пакетами протокола DHCP для IPv4 сетей.
Примечание
Количество автоматически сгенерированных правил может отличаться в зависимости от конфигурации ARMA FW. Например, при настройке ARMA FW в режиме отказоустойчивого кластера появятся автоматически сгенерированные правила в списке подраздела «[PFsync]» правил МЭ.
После настройки параметров создаваемого правила МЭ и нажатия кнопки «Сохранить» выводится всплывающее окно с запросом на определение порядка размещения правила в перечне (см. Рисунок – Запрос на размещение правила в перечне). Предлагаются следующие варианты ответа:
«Да» – создаваемое правило МЭ будет размещено первым, вверху перечня;
«Нет» – в зависимости от способа создания правила МЭ:
создаваемое правило МЭ посредством кнопки «+Добавить» будет размещено последним, внизу перечня;
скопированное правило МЭ посредством кнопки «» будет размещено следующим после оригинального правила.
Для параметров «Отправитель» и «IP-адрес назначения» существуют чек-боксы «Инвертировать отправителя» и «Инвертировать получателя» соответственно.
При установке флажка в данных чек-боксах правило будет применено для всех отправителей/получателей, кроме значений, указанных в полях параметров «Отправитель»/«IP-адрес назначения».
Для создания правила МЭ необходимо выполнить следующие действия:
Перейти в подраздел общих правил МЭ («Межсетевой экран» - «Правила» - «[Общие]») (см. Рисунок – Подраздел «Общие»).
В результате правило будет применено и отображено в списке правил.
В примере не используются дополнительные возможности правил МЭ и дополнительные параметры, доступные при нажатии кнопки «Показать/скрыть» (см. Рисунок – Дополнительные возможности правил МЭ). Данные возможности и параметры необходимы для более тонкой настройки правил МЭ.
Для проверки работы правил МЭ необходимо открыть веб-браузер на ПК «Admin», ввести в адресной строке «192.168.2.100» и нажать клавишу «ENTER». В результате отобразится стартовая страница веб-сервера (см. Рисунок – Стартовая страница веб-сервера).
Псевдонимы – удобный инструмент объединения множества сетей, хостов и портов с целью дальнейшего использования в правилах МЭ, NAT, переадресации портов и в других настройках ARMA FW.
Правильное использование псевдонимов улучшает читаемость правил МЭ и ускоряет добавление новых или изменение действующих правил.
Для создания псевдонима необходимо выполнить следующие действия:
Перейти в подраздел управления псевдонимами («Межсетевой экран» - «Псевдонимы») и нажать кнопку «» (см. Рисунок – Псевдонимы).
Обязательными для создания псевдонима являются поля «Имя» и «Тип».
Типы псевдонимов, используемые в ARMA FW, и их краткое описание:
«Хост(-ы)» – один или более хостов указываются по IP-адресам или FQDN;
«Сеть(-и)» – одна или более сетей указываются в формате CIDR;
«Порт(-ы)» – один или более портов протоколов TCP и UDP указываются в форме списка или диапазона;
«URL (IP-адреса)» – URL размещённого на каком-либо web-ресурсе списка IP-адресов. Список загружается один раз;
«Таблица URL (IP-адреса)» – URL размещённого на каком-либо web-ресурсе списка IP-адресов и периодичность обновления информации из списка. Список загружается с установленной периодичностью;
«GeoIP» – одна или более стран и регионов;
«Сетевая группа» – один или более псевдонимов типа «Сеть(-и)»;
Большинство псевдонимов могут быть вложены в другие псевдонимы. Например, псевдоним, содержащий веб-серверы, и псевдоним, содержащий почтовые серверы, могут вместе входить в один более крупный псевдоним, содержащий все серверы.
В содержании псевдонима данного типа возможно указать один или более хостов. Хосты задаются списком IP-адресов или полностью определённым доменным именем FQDN.
В случае использования доменного имени для определения IP-адресов будет использоваться ответ DNS-сервера, опрос которого производится каждые 300 секунд. Интервал задаётся в параметре «Интервал разрешения алиасов» подраздела дополнительных настроек МЭ («Межсетевой экран» - «Настройки» - «Дополнительно»).
В содержании псевдонима данного типа возможно указать один или более портов. Перечисляются одиночные порты, либо диапазоны портов, разделённые знаком «двоеточие».
Например, «420:500» будет соответствовать диапазону портов от 420 до 500.
В содержании псевдонима данного типа возможно указать один или более URL со списком IP-адресов.
Список IP-адресов должен содержаться в текстовом файле, в котором каждый элемент списка (адрес отдельного хоста или сети) представлен отдельной строкой.
В списке IP-адресов могут быть указаны как отдельные IP-адреса, так и сети в формате CIDR.
URL задаются в следующей форме:
<протокол><://><FQDN или IP-адрес хоста><путь к файлу списка>, например:
В содержании псевдонима данного типа возможно указать один или более URL списком IP-адресов и периодичность обновления информации из указанного списка.
Параметры списков и URL идентичны параметрам псевдонима типа «URL (IP-адреса)» (см. «URL (IP-адреса)»).
Периодичность обновления информации из списка задаётся в форме количества дней и количества часов в полях «Д» и «Ч» соответственно. По истечении указанного периода времени будет произведена загрузка файла заново.
В состав псевдонима типа «Таблица URL (IP-адреса)» нельзя вложить никакой псевдоним. Псевдоним типа «Таблица URL (IP-адреса)» также не может быть вложен ни в один другой псевдоним.
В содержании псевдонима данного типа указывается одна или более стран и/или регионов. Задание значений псевдонима осуществляется выбором соответствующего пункта из выпадающих меню.
После настройки псевдонима необходимо добавить правило МЭ и указать следующие параметры:
«Действие» – требуемое действие;
«Направление» – «Любой»;
«Отправитель» – имя соответствующего псевдонима GeoIP;
Для настройки обновления локальной базы IP-адресов с сервера InfoWatch ARMA необходимо перейти во вкладку «Настройки GeoIP» подраздела настройки псевдонимов («Межсетевой экран» - «Псевдонимы»), ввести в полях параметров «Имя пользователя» и «Пароль» значения, предоставляемые вендором, и нажать кнопку «Применить» (см. Рисунок – Настройки GeoIP).
Примечание
Для успешного импорта базы IP-адресов с сервера обновлений требуется доступ к сети Интернет.
При корректно введённых значениях, отобразятся актуальные сведения о дате и времени создания данных на сервере обновлений, а также о совокупном количестве диапазонов.
В случае необходимости импорта диапазонов с определённого ресурса в сети Интернет следует установить флажок для параметра «Использовать пользовательский URL для данных GeoIP», указать адрес в поле параметра «URL» и нажать кнопку «Применить» (см. Рисунок – Пользовательский URL для данных GeoIP).
В содержании псевдонима данного типа указывается один или более существующих псевдонимов типа «Сеть (-и)» и/или «Хост (-ы)». Функционально псевдоним выполняет ту же роль, что и псевдоним типа «Сеть (-и)», но использует другой подход к отображению содержания псевдонима, что может упростить управление большим количеством псевдонимов типа «Сеть (-и)».
Содержание псевдонима данного типа нельзя указать средствами веб-интерфейса. В подразделе управления псевдонимами («Межсетевой экран» - «Псевдонимы») выполняется только объявление псевдонима для дальнейшего использования его в правилах межсетевого экрана. Содержание псевдонима управляется отдельными плагинами к ARMA FW, к функциональности которых относится псевдоним.
В некоторых случаях необходимо указать расписание работы правил МЭ.
Например, требуется разрешить доступ к веб-серверу (см. Рисунок – Пример использования МЭ) только по рабочим дням с 6 ч. до 19 ч., с 1 октября по 30 декабря 2025 года.
Для решения данной задачи необходимо создать расписание и изменить созданные ранее правила МЭ.
Для создания расписания необходимо выполнить следующие действия:
Перейти в подраздел управления расписаниями («Межсетевой экран» - «Настройки» - «Расписания») (см. Рисунок – Расписания для правил МЭ) и нажать кнопку «+Добавить».
нажать ЛКМ на поле параметра «Диапазон дат», выбрать «1» число октября и «30» число декабря 2025 г., указать начальное время «06:00» и конечное время «19:00», затем нажать кнопку «Применить» (см. Рисунок – Диапазон дат);
После создания расписания необходимо изменить правила МЭ для ограничения доступа к веб-серверу, выполнив следующие действия:
Перейти в подраздел общих правил МЭ («Межсетевой экран» - «Правила» - «[Общие]») (см. Рисунок – Подраздел «Общие») и нажать кнопку «» напротив соответствующего правила.
В ARMA FW работа МЭ на канальном уровне реализуется посредством модуля «ipfw», который включён по умолчанию.
Порядок правил L2 в списке имеет значение. Сетевой пакет проверяется на совпадение с критериями правил L2 по порядку, сверху вниз.
В правиле L2 возможно указание значений для следующих параметров:
«Действие» – поддерживается выбор следующих значений:
«разрешить»;
«запретить»;
«Интерфейс»;
«Направление» – поддерживается выбор следующих значений:
«входящий»;
«исходящий»;
«Описание»;
«Тип Ethernet» – поддерживается выбор следующих значений:
«Любой»;
«VLAN»;
«IPv4»;
«IPv6»;
«Другое» – при выборе значения дополнительно появится параметр «Другой тип Ethernet», в поле которого поддерживается указание типа четырёхзначным числом в шестнадцатеричной системе счисления, например, «80F3»;
«MAC источника» – поддерживается выбор MAC-адреса либо значения «Любой» или «Другое»;
«MAC получателя» – поддерживается выбор MAC-адреса либо значения «Любой» или «Другое».
В полях параметров «MAC источника» и «MAC получателя» допускается выбор MAC-адреса либо значения «Любой» или «Другое».
При указании в полях параметров «MAC источника» и «MAC получателя» значения «Другое» дополнительно появятся параметры «Пользовательский MAC источника» и «Пользовательский MAC получателя».
По умолчанию предусмотрены автоматически сгенерированные правила L2, для просмотра которых необходимо нажать кнопку «».
Перечень автоматически сгенерированных правил L2. Раздел [Общие]:
1 – «Разрешить ARP»;
2 – «Разрешить RARP»;
3 – «Разрешить 0x888e для WPA»;
4 – «Разрешить 0x88c7 для WPA»;
5 – «Разрешить 0x8863 для PPP через Ethernet Стадия Сеанса/Стадия Обнаружения»;
6 – «Разрешить 0x8864 для PPP через Ethernet Стадия Сеанса/Стадия Обнаружения».
Примечание
При создании правил L2 в разделе «[Общие]» и назначении определённого интерфейса, добавленное правило будет отображаться в списке правил L2 в разделе указанного интерфейса.
Для отключения модуля «ipfw» необходимо снять флажок для параметра «Включить IPFW», расположенного под перечнем правил, и нажать кнопку «Сохранить».
Примечание
При отключении модуля «ipfw» прекращают работу правила L2, а также чёрный и белый списки в подразделе обнаруженных хостов («Сеть» - «Обнаружение устройств» - «Хосты») (см. «Блокирование устройства по MAC-адресу»).
В качестве примера приведён порядок создания правила L2 в разделе «[LAN]» для запрета прохождения пакетов от устройства с определённым MAC-адресом.
Для проверки работы правила L2 необходимо на ПК «Client» запустить команду «ping» IP-адреса LAN-интерфейса ARMA FW. При корректной работе созданного запрещающего правила L2 будет выведен ответ о превышении интервала ожидания для запроса.
ARMA FW позволяет отслеживать количество срабатываний правил.
Для отображения таблицы мониторинга срабатывания правил следует в разделе правил МЭ («Межсетевой экран» - «Правила») перейти в необходимый подраздел, например «[LAN]», и нажать кнопку «Счетчики» (см. Рисунок – Мониторинг срабатывания правил).
» в верхней правой части страницы.
» напротив каждого из созданных правил. Сетевой пакет проверяется на совпадение с критериями правил по порядку, сверху вниз.» – принцип первого совпадения;
» – принцип последнего совпадения.
» будет размещено следующим после оригинального правила.
» (см. Рисунок – Псевдонимы).
» напротив соответствующего правила.
».
