Regole
Le regole firewall definiscono come il traffico di rete viene segmentato e controllato tra diverse zone. Il firewall agisce come una barriera tra reti interne affidabili e reti esterne non affidabili, come ad esempio Internet. Queste regole specificano quale traffico è consentito, negato o monitorato in base alle politiche di sicurezza predefinite.
L'ordine delle regole è importante; la prima regola corrispondente viene applicata, determinando il destino del pacchetto di rete.
La pagina è organizzata in tre schede, ciascuna con uno scopo specifico:
- Scheda
Regole di inoltro: questa scheda è dedicata alla configurazione delle regole per i pacchetti di dati che si muovono tra diverse zone della rete. - Scheda
Regole di ingresso: questa scheda è dedicata alla configurazione delle regole per i pacchetti in ingresso destinati al firewall stesso. - Scheda
Regole di uscita: questa scheda è dedicata alla configurazione delle regole per i pacchetti emessi dal firewall.
Individuare il pulsante per aggiungere una nuova regola, fare clic su di esso per avviare il processo di creazione della regola. Compilare i seguenti campi per la nuova regola:
-
Stato: abilitare o disabilitare la regola in base alle vostre esigenze. Per impostazione predefinita, la regola è abilitata durante la creazione. -
Nome regola: assegnare un nome descrittivo per identificare la regola. -
Indirizzo sorgente: selezionare l'indirizzo sorgente da tre diverse opzioni:- inserire uno o più indirizzi/reti IPv4/IPv6 o intervalli di IP
- selezionare un oggetto firewall da quelli disponibili
- qualsiasi indirizzo sorgente
Questo campo non è presente per le
Regole di uscita, poiché l'indirizzo sorgente è sempre il firewall stesso. -
Zona sorgente: specificare la zona sorgente del traffico. Scegliere una zona specifica o selezionare "Qualsiasi" per includere il traffico da qualsiasi zona. -
Indirizzo destinazione: selezionare l'indirizzo di destinazione da tre diverse opzioni:- inserire uno o più indirizzi/reti IPv4/IPv6 o intervalli di IP
- selezionare un oggetto firewall da quelli disponibili
- qualsiasi indirizzo di destinazione
Questo campo non è presente per le
Regole di ingresso, poiché l'indirizzo di destinazione è sempre il firewall stesso. -
Zona destinazione: specificare la zona di destinazione del traffico. Scegliere una zona specifica. Tenere presente che le zone sorgente e di destinazione non possono essere uguali. -
Servizio destinazione: selezionare dall'elenco o scegliere "Personalizzato" per inserire porte specifiche e selezionare protocolli. -
Azione: definire l'azione quando vengono soddisfatte le condizioni della regola:Accetta: accettare il traffico di rete.Rifiuta: bloccare il traffico e notificare l'host mittente.Scarta: bloccare il traffico, i pacchetti vengono scartati e nessuna notifica viene inviata all'host mittente.Non tracciare: bypassare il tracciamento della connessione per il traffico corrispondente. Questa azione è disponibile solo nelleRegole di inoltroeRegole di ingresso, richiede una zona sorgente e non è disponibile nelleRegole di uscita.
-
Posizione regola: decidere se aggiungere la regola in fondo o in cima all'elenco delle regole. -
Registrazione: indicare se il traffico corrispondente a questa regola deve essere registrato. La voce di log includerà il nome della regola come prefisso. Per impostazione predefinita, la registrazione è limitata a 1 voce al secondo. Consultare la sezione Limiti di registrazione per le istruzioni su come modificare questo limite. -
Tag: facoltativamente, aggiungere tag per scopi organizzativi. Nota che il tag "automatico" è riservato all'uso del sistema.
Limiti di registrazione
La registrazione può essere abilitata sui seguenti oggetti:
- zone
- regole firewall
- regole di reindirizzamento (port-forwarding)
Quando la registrazione è abilitata, il firewall aggiungerà limiti di registrazione a varie regole. Ciò garantisce che la registrazione non sovraccarichi il sistema impostando un limite alla velocità di registrazione.
Per impostazione predefinita, vengono applicati i seguenti limiti di registrazione:
- 1 voce di log al secondo per le regole firewall
- 5 voci di log al secondo per le zone
- 1 voce di log al secondo per le regole di reindirizzamento
Modifica dei limiti di registrazione predefiniti
La modifica dei limiti di registrazione predefiniti può influire sulle prestazioni del sistema. Prestare attenzione durante la modifica di questi limiti.
I limiti predefiniti vengono salvati nella sezione ns_defaults della configurazione del firewall:
zone_log_limit: il limite predefinito per le zonerule_log_limit: il limite predefinito per le regole firewallredirect_log_limit: il limite predefinito per le regole di reindirizzamento
-
Impostare il limite di log desiderato per le regole firewall utilizzando il comando
uci:uci set firewall.ns_defaults.zone_log_limit="10/s"uci commit firewall -
Eseguire lo script
firewall-apply-default-loggingper applicare il nuovo limite di log:firewall-apply-default-logging