6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Ipfire установка и настройка

Всем привет сегодня хочу познакомить вас с отличным дистрибутивом для организации vpn канала между офисами, ipfire. Делается это для тех у кого нет возможности приобретения оборудования juniper или Cisco, такая vpn сетка для бедных :), но во многих случаях она помогает экономить деньги, особенно актуально при текущей ситуации в стране. Ниже рассмотрим возможности ipfire и его установку. Были случаи, что я его использовал для организации маршрутизации с хоста виртуализации, который в свою очередь, располагался в цоде.

  • 1 Системные требования
  • 2 Основные функции
  • 3 Дополнения
  • 4 Структура
  • 5 Настройка
    • 5.1 IDS
    • 5.2 DHCP
    • 5.3 DMZ
    • 5.4 DNS
    • 5.5 Логирование
  • 6 Установка

Модульный дизайн позволяет устанавливать и настраивать систему под заказ. Можно установить очень маленькую систему на первых поколениях процессоров Intel Pentiumили современную многопроцессорную SOHO-систему. Требования производительности зависят от сферы применения. Но минимальные требования таковы: 333 MHz CPU, 256 MB RAM и 2 сетевых интерфейса — один для соединения с Интернетом и один для локальной сети.

IPFire обслуживает пользователей не слишком знакомых с сетевыми и серверными услугами. IPFire поставляется с расширенной утилитой управления пакетами (Pakfire), которая позволяет установить на базовую систему дополнения. Менеджер пакетов также устанавливает обновления безопасности.

IPFire был портирован на ARM архитектуру 2011. Сейчас запускается на Pandaboard, Raspberry Pi и Marvel Kirkwood платформе DreamPlug.

2. Подключение к интернету

Будьте аккуратны при работе компьютера в сети. Если вы используете публичное беспроводное подключение в одном из общественных мест, то ваши данные могут быть очень просто перехвачены злоумышленниками. Это касается любой операционной системы.

Во-вторых, на ваш компьютер могут попасть вирусы, которые управляются из сети. Например, в декабре 2015 компания Juniper Networks сделала шокирующее заявление, что в коде брандмауэров был обнаружен сторонний код, который потенциально мог дать доступ злоумышленнику к системам.

Невозможно проверить каждую строку кода операционной системы, даже если она имеет открытый исходный код. Любые действительно конфиденциальные данные лучше хранить на устройстве, которое не подключено к интернету. Это самая надежная защита.

7 лучших файрволов c открытым исходным кодом для защиты вашей сети

Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.

Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!

Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.

1. pfSense

Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.

pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).

Бесплатно вы получаете общую версию.

Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:

  • файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
  • таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
  • серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
  • NAT (преобразование сетевых адресов) — переадресация портов, отражение;
  • HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
  • мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
  • VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
  • создание отчетов – сохранение информации об использованных ресурсах;
  • мониторинг – мониторинг в режиме реального времени;
  • динамический DNS – включено несколько DNS-клиентов;
  • поддержка DHCP Relay.

Больше функций, чем предоставляют некоторые коммерческие файрволы, вы получаете БЕСПЛАТНО.

Поразительно, не так ли?

Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.

  • безопасность — stunner, snort, tinc, nmap, arpwatch;
  • мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
  • создание сети — netio, nut, Avahi;
  • маршрутизация — frr, olsrd, routed, OpenBGPD;
  • обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

pfSense выглядит многообещающе и его стоит попробовать.

2. IPFire

IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.

IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.

IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.

Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.

3. OPNSense

OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.

OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.

Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.

4. NG Firewall

NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.

Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.

Читать еще:  Linkedin профессиональная сеть

В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.

5. Smoothwall

Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.

Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.

Примечание: Следующие две программы предназначены только для серверов Linux.

6. ufw

ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

7. csf

csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:

  • RHEL/CentOS
  • CloudLinux
  • Fedora
  • OpenSUSE
  • Debian
  • Ubuntu
  • Slackware
  • OpenVZ
  • KVM
  • VirtualBox
  • XEN
  • VMware
  • Virtuozzo
  • UML

csf — это файрвол с контролем состояния соединений, обнаружением входа в систему и обеспечением безопасности для серверов Linux.

Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.

ipfire это

ipfire свободно распространяемый дистрибутив на основе линукс платформ с целью создания маршрутизатора и firewall.

Возможности ipfire

Сам дистрибутив легкий по весу и требует всего 256 мб памяти, два сетевых интерфейса для интернета и для организации шлюза в локальной сети

  • Прокси-сервер с контентной фильтрацией и кешем для обновлений (пример: Microsoft Windows Updates и антивирусные базы)
  • Intrusion detection system (Snort) with intrusion prevention-addon «guardian»
  • VPN via IPsec and OpenVPN
  • DHCP сервер
  • Caching-nameserver
  • NTP server
  • Wake-on-LAN
  • Dynamic DNS
  • Quality of Service
  • Outgoing firewall
  • System monitoring and Log-Analysis

Скачать дистрибутив можно с официального сайта последней версией была IPFire 2.17 — Core Update 95, если вдруг вам нужен дистрибутив то могу залить в облако яндекса.

На выбор у вас будет прямая ссылка с сайта, торентом или magnet, не забудьте проверить контрольную сумму iso образа.

Установка ipfire

Ставить я буду на VMware ESXI 5.5. Первым делом создаем виртуальную машину. В качестве ОС выбираем Other Linux x-86 и двумя сетевыми интерфейсами.

запускаем установщик, вы сразу увидите огненного пингвина, для установки выбираем Install IPFire 2.17

так же хочу обратить внимание, что есть возможность выбрать установку с помощью файла ответов

И так запустится мастер, первое что он вас попросит сделать это выбрать язык, хотя в списке и присутствует русский я все же рекомендую выбрать английский, бывали случаи, что работало некорректно.

Выбираем start installation

Соглашаемся с лицензионным соглашением и жмем ок.

Мастер определит диски для установки и попросит удалить все данные с нужного, жмем Delete all data.

теперь вам нужно будет задать тип файловой системы, я выбираю ext4 File system.

начнется создание файловой системы

и сам процесс установки ipfire

подождав пару секунд вас попросят перезагрузиться для дальнейшей настройки.

вас спросят язык раскладки клавиатуры выбираем us

при желании можете задать нужный часовой пояс

теперь зададим имя сервера, хотя в данном случае виртуальной машины

указываем доменное имя хоста

Задаем пароль root

и задаем пароль Admin для доступа к веб морде.

Далее настраиваем сеть ipfire.

Настройка сети ipfire

И так теперь самое главное правильно настроить внешнюю и локальную сеть, для дальнейшего управления дистрибутивом. Перед вами окно настройки сети Green + Red

Вот описание назначения сети, где

  • red это внешняя сеть, будет использоваться для vpn канала
  • Green это локальная сеть
  • Ogange это демилитаризованная зона
  • Blue это WLAN, для Wifi.

и так выбираем drivers and card assignments.

как видите к green и red нет привязанных сетевых адаптеров, исправим это. Выбираем green.

выбираем нужный сетевой адаптер, полезно видно mac адреса.

Все к зеленому мы привязали железку

Сделаем тоже самое для красного интерфейса

теперь когда зеленый и красный имеют выход в нужные коммутаторы можно двигаться дальше.

теперь настроим статические ip адреса для нашего сервера, хотя у вас в локалке и может быть dhcp для серверов, но я вам рекомендую, любому серверу давать статику. Выбираем Address settings.

в начале настроим зеленый интерфейс

задаем нужный вам ip адрес и маску подсети.

тоже самое проделываем со внешним красным интерфейсом. Тут вы также можете использовать

  • Статический ip адрес
  • DHCP назначение
  • PPOE или модемы

внешний ip мы настроили, но не указали для него dns сервера и шлюз по умолчанию, сделать это для красного интерфейса можно в пункте DNS and Gateway settings.

я выбрал в качестве dns не провайдерские dns, а гугловские

Все ipfire установка почти закончена, в конце мастер вам предложит настроить dhcp сервер, если у вам это не нужно то просто пропустите этот пункт.

все миссия окончена

открываем браузер и вводим вот такой вот адрес https://ip адрес:444.

Видео инструкция

IPFire использует технологию SPI (Stateful Packet Inspection) firewall, построенный на основе netfilter. Во время установки IPFire, мы настраиваем сеть на несколько отдельных сегментов. Подобная схема безопасности позволяет назначить место в сети для каждой машины. Эти различные сегменты могут быть включены раздельно, в зависимости от ваших требований. Каждый сегмент представляет собой группу компьютеров, делящих общий уровень безопасности.

При настройке следует учитывать что:

Зеленой обозначена доверенная (внутренняя) сеть. Это где все постоянные клиенты будут проживать. Как правило, это локальная сеть. Клиенты на зеленом сегменте могут получить доступ во все другие сегменты сети без ограничений.

Красной — внешняя (со стороны провайдера). Данный цвет подразумевает потенциальную «опасность» или подключение к Интернету. Ничему из красного сегмента не разрешено проходить через firewall, для изменения необходима настройка администратором.

Синяя сеть — беспроводная (синее небо) локальная сеть. Поскольку у беспроводной сети есть потенциал к тому чтобы быть взломанной, для нее следует определять свои правила, регулирующие клиентов в ней. Клиенты на этом сегменте сети должны получить явное разрешение, прежде чем они могут получить доступ к сети.

Читать еще:  Как включить клавиатуру в БИОСе на компьютере?

Оранжевый — DMZ.

6. Системы обнаружения вторжений

Антивирусы могут обнаружить далеко не все новые угрозы. В августе 2015 группа хакеров Sofacy запустила кибер атаку с помощью собственного инструмента Azzy. Kaspersky обновили свои базы данных, добавив туда эту программу. А хакеры выпустили новую версию в течение 90 минут, которая уже не обнаруживалась антивирусом.

В 2017 году антивирусы, которые работают на основе баз данных не смогут быстро выявить новые угрозы. Выбирайте программное обеспечение, которое использует обнаружение аномалий и блокирует любые необычные действия программ.

К таким продуктам можно отнести ClamAV. Также в Linux можно настроить SELinux и Apparrmor для противодействия вторжениям и добавления еще одной степени защиты. Это основные правила безопасности за компьютером.

7 лучших файрволов c открытым исходным кодом для защиты вашей сети

Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.

Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!

Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.

1. pfSense

Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.

pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).

Бесплатно вы получаете общую версию.

Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:

  • файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
  • таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
  • серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
  • NAT (преобразование сетевых адресов) — переадресация портов, отражение;
  • HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
  • мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
  • VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
  • создание отчетов – сохранение информации об использованных ресурсах;
  • мониторинг – мониторинг в режиме реального времени;
  • динамический DNS – включено несколько DNS-клиентов;
  • поддержка DHCP Relay.

Больше функций, чем предоставляют некоторые коммерческие файрволы, вы получаете БЕСПЛАТНО.

Поразительно, не так ли?

Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.

  • безопасность — stunner, snort, tinc, nmap, arpwatch;
  • мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
  • создание сети — netio, nut, Avahi;
  • маршрутизация — frr, olsrd, routed, OpenBGPD;
  • обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

pfSense выглядит многообещающе и его стоит попробовать.

2. IPFire

IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.

IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.

IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.

Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.

3. OPNSense

OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.

OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.

Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.

4. NG Firewall

NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.

Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.

В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.

5. Smoothwall

Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.

Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.

Примечание: Следующие две программы предназначены только для серверов Linux.

6. ufw

ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

7. csf

csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:

  • RHEL/CentOS
  • CloudLinux
  • Fedora
  • OpenSUSE
  • Debian
  • Ubuntu
  • Slackware
  • OpenVZ
  • KVM
  • VirtualBox
  • XEN
  • VMware
  • Virtuozzo
  • UML

csf — это файрвол с контролем состояния соединений, обнаружением входа в систему и обеспечением безопасности для серверов Linux.

Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.

ipfire это

ipfire свободно распространяемый дистрибутив на основе линукс платформ с целью создания маршрутизатора и firewall.

Возможности ipfire

Сам дистрибутив легкий по весу и требует всего 256 мб памяти, два сетевых интерфейса для интернета и для организации шлюза в локальной сети

  • Прокси-сервер с контентной фильтрацией и кешем для обновлений (пример: Microsoft Windows Updates и антивирусные базы)
  • Intrusion detection system (Snort) with intrusion prevention-addon «guardian»
  • VPN via IPsec and OpenVPN
  • DHCP сервер
  • Caching-nameserver
  • NTP server
  • Wake-on-LAN
  • Dynamic DNS
  • Quality of Service
  • Outgoing firewall
  • System monitoring and Log-Analysis

Скачать дистрибутив можно с официального сайта последней версией была IPFire 2.17 — Core Update 95, если вдруг вам нужен дистрибутив то могу залить в облако яндекса.

На выбор у вас будет прямая ссылка с сайта, торентом или magnet, не забудьте проверить контрольную сумму iso образа.

Читать еще:  Настройка принтера по сети Windows 10

Установка ipfire

Ставить я буду на VMware ESXI 5.5. Первым делом создаем виртуальную машину. В качестве ОС выбираем Other Linux x-86 и двумя сетевыми интерфейсами.

запускаем установщик, вы сразу увидите огненного пингвина, для установки выбираем Install IPFire 2.17

так же хочу обратить внимание, что есть возможность выбрать установку с помощью файла ответов

И так запустится мастер, первое что он вас попросит сделать это выбрать язык, хотя в списке и присутствует русский я все же рекомендую выбрать английский, бывали случаи, что работало некорректно.

Выбираем start installation

Соглашаемся с лицензионным соглашением и жмем ок.

Мастер определит диски для установки и попросит удалить все данные с нужного, жмем Delete all data.

теперь вам нужно будет задать тип файловой системы, я выбираю ext4 File system.

начнется создание файловой системы

и сам процесс установки ipfire

подождав пару секунд вас попросят перезагрузиться для дальнейшей настройки.

вас спросят язык раскладки клавиатуры выбираем us

при желании можете задать нужный часовой пояс

теперь зададим имя сервера, хотя в данном случае виртуальной машины

указываем доменное имя хоста

Задаем пароль root

и задаем пароль Admin для доступа к веб морде.

Далее настраиваем сеть ipfire.

Настройка сети ipfire

И так теперь самое главное правильно настроить внешнюю и локальную сеть, для дальнейшего управления дистрибутивом. Перед вами окно настройки сети Green + Red

Вот описание назначения сети, где

  • red это внешняя сеть, будет использоваться для vpn канала
  • Green это локальная сеть
  • Ogange это демилитаризованная зона
  • Blue это WLAN, для Wifi.

и так выбираем drivers and card assignments.

как видите к green и red нет привязанных сетевых адаптеров, исправим это. Выбираем green.

выбираем нужный сетевой адаптер, полезно видно mac адреса.

Все к зеленому мы привязали железку

Сделаем тоже самое для красного интерфейса

теперь когда зеленый и красный имеют выход в нужные коммутаторы можно двигаться дальше.

теперь настроим статические ip адреса для нашего сервера, хотя у вас в локалке и может быть dhcp для серверов, но я вам рекомендую, любому серверу давать статику. Выбираем Address settings.

в начале настроим зеленый интерфейс

задаем нужный вам ip адрес и маску подсети.

тоже самое проделываем со внешним красным интерфейсом. Тут вы также можете использовать

  • Статический ip адрес
  • DHCP назначение
  • PPOE или модемы

внешний ip мы настроили, но не указали для него dns сервера и шлюз по умолчанию, сделать это для красного интерфейса можно в пункте DNS and Gateway settings.

я выбрал в качестве dns не провайдерские dns, а гугловские

Все ipfire установка почти закончена, в конце мастер вам предложит настроить dhcp сервер, если у вам это не нужно то просто пропустите этот пункт.

все миссия окончена

открываем браузер и вводим вот такой вот адрес https://ip адрес:444.

Видео инструкция

Настройка

Для доступа к Snort необходимо зарегистрироваться на сайте https://www.snort.org. После регистрации к вам на Email дойдет письмо с подтверждением. Затем в профиле пользователя на сайте можно получить Oinkcode.

Получив Oinkcode вводим его в веб интерфейсе IPFire. Services-Intrusion Detection System. Вводим в бокс Oinkcode.

DHCP в локальной сети Во вкладке Network / DHCP configuration можно настроить конфигурации для DHCP в локальной сети. (Зеленый интерфейс)

В указанном примере диапазон выдаваемых IP от Start address-10.0.0.11 до End Address-10.0.0.20. Но максимальный диапазон , который можно установить согласно маске 2^8=256.

DMZ можно задать во время установки МЭ. Настроить ее можно путем создания нескольких rule.

  1. Откройте “Firewall” > “Firewall Rules”
  2. Destination укажите Standard network и выберете ORANGE
  3. В протоколах можно оставить All
  4. Выберем drop снизу и добавляем описание

Создаем еще несколько правил уже c такими же настройками кроме как в протоколе выберем TCP укажем порт 80 и выбираем вместо drop accept. То же самое выполним для порта 22. Не забудем убедиться что rule position у 2х последних под приоритетом чем у 1 го созданного нами rule.

Настройка DNS. Сперва, создать IPFire Service Group для DNS

  1. В IPFire WUI(Веб интерфейс), открыть Firewall >Firewall Groups
  2. Нажать кнопку “Service Groups”
  3. В боксе Group Name: введите ‘DNS’
  4. Нажмите Add
  5. Нажмите желтый карандаш рядом с DNS service group для редактирования
  6. Во вкладке Add выберите DNS (TCP) и нажмите Add
  7. В боксе Add выберете DNS (UDP) и нажмите Add

Затем, настройте новые firewall rules

  1. Откройте Firewall >Firewall Rules
  2. Нажмите кнопку Apply changes, так как для создания нового DNS Service Group
  3. Нажмите кнопку New rule и настройте следующие строки:
    • Source: Standard networks GREEN
    • Проверьте Use Network Address Translation (NAT) и оставьте Firewall Interface в режиме — Automatic —
    • Firewall: GREEN
    • Protocol: — Preset —
    • Service Groups DNS
    • Добавьте комментарий к строке Remark:, например Предотвращает DNS hijacking attack — GREEN
    • Нажмите кнопку Add
  4. Вернемся во вкладку Firewall Rules, нажмите кнопку Apply changes сверху
  5. Создайте еще 1 идентичный rule, но для каждой отдельной сети что у вас есть, например за синих:
    • Нажмите кнопку New rule и настройте следующие строки:
    • Source: Standard networks BLUE
    • Проверьте Use Network Address Translation (NAT) и оставьте Firewall Interface в режиме — Automatic —
    • Firewall: BLUE
    • Protocol: — Preset —
    • Service Groups DNS
    • В бокс Remark: добавьте комментарий, like Prevent DNS hijacking attack — BLUE
    • Нажмите кнопку Add

Вернувшись в Firewall Rules нажмите Apply changes сверху.

Блокировать доступ к mail.ru можно создать фильтр. Откройте вкладку URL filter в подразделе network. В бокс Custom blacklist добавьте www.mail.ru .Поставьте галку Enable custom blacklist.

Логирование

Уметь отслеживать SSH, HTTP, HTTPS и DNS запросы в сети

Чтобы отслеживать подобные запросы достаточно добавить несколько новых rule. Протокол TCP справа указываем порты 53(DNS) , 443(HTTPS),22(SSH), 80(HTTP). И еще Протокол UDP порт 53 (DNS). Выбираем Accept в каждом, но в rule position ставим низкий приоритет, так чтобы мы могли ловить логи, но не повлияем на другие правила.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector