Документация
Документация VyOS
Firewall в VyOS

Firewall в VyOS

Межсетевой экран (Firewall) VyOS обеспечивает защиту сети путем фильтрации трафика на основе правил.

Содержание раздела

Firewall Configuration

Полное руководство по настройке межсетевого экрана в VyOS.

Основные возможности:

  • Stateful и stateless фильтрация
  • IPv4 и IPv6 поддержка
  • Зоны безопасности
  • Address и network groups
  • Port и protocol фильтрация
  • Connection tracking
  • Rate limiting

VyOS 1.5 использует nftables вместо iptables для лучшей производительности.

Основные концепции

Направления трафика

  • Input - трафик к самому роутеру
  • Output - трафик от роутера
  • Forward - транзитный трафик через роутер

Типы правил

  • Accept - разрешить трафик
  • Drop - отбросить без уведомления
  • Reject - отклонить с уведомлением
  • Return - вернуться к предыдущему правилу

Default Action

Действие по умолчанию для трафика, не попавшего под правила (обычно drop).

Быстрые примеры

Базовая защита WAN интерфейса 

set firewall ipv4 input filter default-action drop
set firewall ipv4 input filter rule 10 action accept
set firewall ipv4 input filter rule 10 state established
set firewall ipv4 input filter rule 10 state related

Разрешить SSH только из локальной сети 

set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 destination port 22
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 source address 192.168.1.0/24

Лучшие практики

  1. Default Deny - блокировать все по умолчанию, разрешать только необходимое
  2. Established/Related First - разрешать установленные соединения в первом правиле
  3. Логирование - логировать блокированный трафик для анализа
  4. Группы адресов - использовать для упрощения управления
  5. Документация - комментировать правила

Дополнительные ресурсы

Проверено OpenNix LLC · Обновлено
L2TP/IPsec VPNFirewall (Межсетевой экран)