Endian Sezione Firewall

Firewall

Port Forwarding / Nat

Destination NAT

Viene usato per limitare l'accesso da zone non sicure verso quelle sicure. Oppure per mappare determinate porte in ingresso verso delle altre.

  • Source: La sorgente delle connessioni. Scegliendo Zone/VPN/Uplink si può scegliere per bene quale delle zone o l'uplink deve provenire il collegamento. Solitamente è main uplink, si possono selezionare le zone da un elenco, gli indirizzi di rete inserendoli nella text box uno per riga, si può selezionare anche l'utente openvpn.
  • Target : vale lo stesso discorso fatto per source con la differenza che questa è la destinazione e non la sorgente.
  • Filter policy: Allow with IPS, Allow, Drop and Reject.

Source NAT

L'inverso del destination il mapping delle connessioni dall'interno verso l'esterno. Si può mappare l'interno in modo che esce con determinati ip e non con quelli del link principale dell'interfaccia rossa.

Incoming routed traffic

Con questo modulo si può fare redirect del traffico che viene routato da più indirizzi esterni verso quelli interni di dmz senza usare un nat.

Outgoing traffic o Traffico in uscita

In questa zona ci sono già delle regole settate per il traffico in uscita dalle varie reti interne per i più comuni servizi (HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ping) tutti gli altri sono bloccati di default.

Accesso HTTP, HTTPS, DNS and ping è permesso dalla BLUE zone (WLAN) mentre solo DNS and ping sono permessi dalla ORANGE zone (DMZ).
Ovviamente si può personalizzare tutto come si vuole.
In basso ci sono pure le regole definite dal sistema, c'è un tasto per visualizzarle. La regola predefinita nella versione 2.4 e che tutti possono fare ping e traceroute verso l'interfaccia rossa.

Si può anche staccare tutto disabilitando l'outgoing firewall ma è ovviamente sconsigliato.

Inter-Zone traffic

Determina i flussi per il traffico tra le zone escluso quella rossa. Le regole predefinite che dalla verde alle altre (blue e orange) è tutto permesso.
Anche per questa zona tutto è configurabile e si può spegnere il tutto.

VPN traffic

Di default non ci sono regole quindi libertà tra gli host vpn e la zona verde, vpn possono accedere a tutte le zone. Gli host vpn non sono soggetti alle regole outgoing traffic firewall e Inter-Zone traffic firewall.

System access, Accesso al Sistema

Le regole per connettersi al sistema. Ce ne sono una lista che non possono essere cambiate per garantire il corretto funzionamento del sistema. Per vedere queste regole Click on the » button labeled “Show rules of system services” "Mostra le regole dei servizi di sistema"
Si possono però aggiungere altre regole, penso che vengono eseguite per prima quelle di sistema così se matchano quelle anche se inserisco delle regole sbagliate dopo non ci arriva.

Firewall Diagrams

Disegni per capire meglio lo schema.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License