На вкладках Общие настройки (см. рисунке) и Дополнительные настройки (см. рисунке) представлены настройки интерфейса, набор которых зависит от выбранного протокола.

Выбор протокола производится в выпадающем списке Протокол на вкладке Общие настройки (см. рисунке). Выпадающий список выбора протокола показан на рисунке.

После выбора нового протокола на странице основных настроек появится кнопка Изменить протокол, как показано на рисунке.

При нажатии кнопки Изменить протокол протокол сетевого интерфейса будет изменён на выбранный. Набор основных и дополнительных настроек будет заменён в соответствии с выбранным протоколом.

Примечание

Подробное описание некоторых из доступных протоколов сетевых интерфейсов и их настройки приведены в разделе данного руководства.

Среди общих для всех протоколов можно выделить следующие настройки, расположенные на вкладке Дополнительные настройки:

• Запустить при загрузке — включает или отключает автоматический запуск интерфейса при загрузке системы;

• Использовать встроенный IPv6-менеджмент — включает или отключает использование встроенного IPv6–менеджмента для данного интерфейса;

• Активировать соединение — устанавливать параметры интерфейсу независимо от состояния подключения. Если опция включена, изменение состояния подключения не будет вызывать hotplug обработчики.

На рисунке для примера приведён внешний вид вкладки Дополнительные настройки для протокола DHCP-клиент.

Вкладка Настройки канала (см. рисунок ) доступна только для Ethernet-интерфейсов с протоколами Статический адрес, DHCP-клиент и Неуправляемый.

На данной вкладке представлены следующие настройки сетевого интерфейса:

• Объединить в мост — настройка позволяет выполнить объединение нескольких системных сетевых интерфейсов в сетевой мост. В этом случае  При этом становятся доступны дополнительные настройки:

  • Включить STP — включает или отключает протокол STP на сетевом мосту.

    Примечание

    Включение данной настройки необходимо для возможности выбора данного моста для управления службой STP/RSTP (см. раздел).

  • Включить IGMP snooping — включает или отключает функцию IGMP snooping на сетевом мосту.

• Интерфейс — в данном выпадающем списке производится выбор системного сетевого интерфейса, привязанного к редактируемому интерфейсу (см. рисунок, а).

  

  Если выбрана опция Объединить в мост в данном списке производится выбор нескольких системных сетевых интерфейсов, которые необходимо объединить в сетевой мост (см. рисунок, б).

Во вкладке Настройки межсетевого экрана производится выбор или создание новой зоны, прикреплённой к редактируемому сетевому интерфейсу. Внешний вид вкладки Настройки межсетевого экрана показан на рисунке.

На вкладке размещён только один элемент управления — выпадающий список Создать / назначить зону сетевого экрана (см. рисунок).

При помощи данного выпадающего списка можно выбрать существующую зону межсетевого экрана или создать новую, введя её имя в поле создать. При выборе не определено редактируемый сетевой интерфейс будет удалён из зоны, к которой он был прикреплён ранее.

Данный протокол предназначен для интерфейсов, конфигурация которых производится при помощи DHCP-запросов.

Для данного протокола во вкладке Общие настройки (см. раздел) доступны следующие настройки:

• Имя хоста в DHCP-запросах — выбор имени хоста, которое будет использовано в DHCP-запросах.

Во вкладке Дополнительные настройки (см. раздел) доступны следующие настройки:

• Использовать широковещательный флаг — настройка включения широковещательного флага (broadcast flag) в DHCP-запросах. Данная функция может потребоваться для некоторых провайдеров.

• Использовать шлюз по умолчанию — настройка использования данного интерфейса в качестве маршрута по умолчанию.

  Если данная настройка включена, то данный интерфейс будет использоваться в качестве маршрута по умолчанию. В противном случае маршрут по умолчанию настраиваться не будет.

• Использовать объявляемые узлом DNS-сервера — настройка использования DNS-серверов, полученных от DHCP-сервера.

  Если настройка включена, то полученные от DHCP-сервера адреса DNS-серверов будут использованы в качестве основных. В противном случае полученные от DHCP-сервера адреса DNS-серверов игнорируются.

• Использовать метрику шлюза — указание метрики шлюза для данного интерфейса.

• ID клиента при DHCP-запросе — настройка идентификатора клиента, используемого в DHCP-запросах.

• Класс производителя (Vendor class), который отправлять при DHCP-запросах — настройка класса производителя, используемого в DHCP-запросах.

• Назначить MAC-адрес — настройка MAC-адреса сетевого интерфейса. Если не указано, то будет использован оригинальный MAC-адрес.

• Назначить MTU — настройка MTU сетевого интерфейса.

Данный протокол предназначен для Ethernet-интерфейсов, для которых настройка IP-адресов и прочих параметров производится вручную, без использования автоматического получения адреса при помощи DHCP.

Для данного протокола во вкладке Общие настройки (см. раздел) доступны следующие настройки:

• IPv4-адрес — IP-адрес сетевого интерфейса для IP-протокола версии 4;

• Маска сети IPv4 — маска подсети для IP-протокола версии 4;

• IPv4-адрес шлюза — IP-адрес шлюза для IP-протокола версии 4;

• Широковещательный IPv4-адрес — широковещательный адрес сети для IP-протокола версии 4;

• Использовать собственные DNS-сервера — настройка позволяет указать собственные адреса DNS-серверов для данного сетевого интерфейса;

• IPv6 назначение длины — устанавливает длину IPv6–префикса, делегируемую интерфейсу;

  Если выбрано значение «выключено», то доступны следующие настройки:

  • IPv6-адрес — IP-адрес сетевого интерфейса для IP-протокола версии 6;

  • IPv6-адрес шлюза — маска подсети для IP-протокола версии 6;

  • IPv6 направление префикса — префикс маршрутизации для IP-протокола версии 6;

  Если значение параметра задано, то доступны настройки:

  • IPv6 подсказка присвоения — шестнадцатиричный идентификатор подпрефикса, который используется для назначения частей префикса IPv6;

  • IPv6 суффикс — суффикс IPv6–адреса;

    Допустимые значения:

    • eui64 — IPv6-адрес генерируется с использованием EUI-64;

    • random — IPv6-адрес генерируется случайным образом;

    • любое фиксированное значение, например ::1 или ::1:2.

Во вкладке Дополнительные настройки (см. раздел) доступны следующие настройки:

• Использовать метрику шлюза — указание метрики шлюза для данного интерфейса;

• Назначить MAC-адрес — настройка MAC-адреса сетевого интерфейса. Если не указано, то будет использован оригинальный MAC-адрес;

• Назначить MTU — настройка MTU сетевого интерфейса.

Настройки DHCP-сервера

При выборе протокола Статический адрес для сетевого интерфейса появляется возможность запуска DHCP-сервера на данном интерфейсе (по умолчанию выключен).

Настройки DHCP-сервера доступны во вкладке DHCP-сервер окна редактирования настроек сетевого интерфейса (см. рисунок).

Для включения DHCP-сервера на интерфейсе необходимо нажать кнопку Настроить сервер DHCP.

Общие настройки DHCP-сервера представлены во вкладке Основные настройки подраздела DHCP-сервер (см. рисунок):

• Игнорировать интерфейс — включение данной настройки отключает работу DHCP-сервера на данном интерфейсе.

• Старт — начальный адрес аренды.

• Предел — максимальное количество адресов, выдаваемых в аренду DHCP-сервером.

• Время аренды адреса — время истечения срока аренды арендованных адресов. Минимальное значение — 2 минуты (2m).

Если DHCP-сервер на интерфейсе включён, то во вкладке Дополнительные настройки подраздела DHCP-сервер (см. рисунок) представлены следующие дополнительные настройки DHCP-сервера:

• Динамический DHCP — настройка включает или отключает режим динамического выделения адресов клиентам. Если настройка выключена, то будут обслужены только клиенты с постоянно арендованными адресами.

  Примечание

  Настройка постоянных аренд DHCP-сервера описана в разделе данного руководства.

• Назначить — назначать DHCP-сервер для данного интерфейса, даже если обнаружен другой DHCP-сервер в этой же сети.

• IPv4-маска сети — переопределение маски подсети, которая отдаётся клиентам.

• DHCP настройки — настройка позволяет определить произвольные DHCP опции, отдаваемые клиентам.

  Параметр задаётся в формате:

  <номер_опции>,<значение_1>,<значение_2>,...

  Например, опция

  6,192.168.2.1,192.168.2.2

  извещает DHCP-клиентов об адресах DNS-сервера 192.168.2.1 и 192.168.2.2.

Во вкладке Настройки IPv6 раздела DHCP-сервер дополнительно размещены настройки DHCP- сервера, относящиеся к IP-протоколу версии 6 (см. рисунок):

• Доступные режимы работы — режим работы службы RA для автоматической конфигурации и маршрутизации.

  Доступные варианты:

  • отключено — служба RA выключена;

  • режим сервера — служба RA работает в режиме сервера (только принимает сообщения);

  • режим передачи — служба RA работает в режиме передачи (только передаёт сообщения);

  • гибридный режим — служба RA передаёт и отправляет сообщения.

    Для режима работы «режим сервера» и «гибридный режим» доступна также следующая настройка:

  • Объявлять всегда, как маршрутизатор по умолчанию — при включении этой опции данное устройство будет всегда объявляться в качестве маршрутизатора по умолчанию.

• DHCPv6 сервис — выбор режима работы DHCP-сервера для протокола IPv6.

  Доступные варианты:

  • отключено — DHCP-сервер выключен;

  • режим сервера — DHCP-сервер включён и работает только как сервер;

  • режим передачи — DHCP-сервер включён и работает в режиме ретрансляции (relay) запросов;

  • гибридный режим — гибридный режим работы DHCP-сервер.

    Для значений режим сервера и гибридный режим доступны также следующие настройки:

  • DHCPv6 режим — режим автоконфигурации. Доступны варианты:

    • «stateless» — позволяет хостам автоматически получать IPv6–адреса в сети без DHCP-сервера через использование NDP.

    • «stateful» — автоконфигурация возможна только с использованием DHCP-сервера;

    • «stateless + stateful» (значение по умолчанию) — могут использоваться одновременно оба вида автоконфигурации.

• NDP-прокси — режим работы NDP-прокси.

  Доступны варианты:

  • «отключено»;

  • «режим передачи»;

  • «гибридный режим».

• Объявить DNS-сервера — список объявляемых DNS-серверов.

• Объявить DNS-домены — список объявляемых DNS-доменов.

Данный протокол предназначен для создания подключений с использованием 3G+/UMTS USB модемов.

Примечание

Более подробно принцип настройки и использования подключенных к контроллеру модемов описан в документе CODESYS V3.5. Работа с модемами.

Для данного протокола во вкладке Общие настройки (см. раздел) доступны следующие настройки:

• Модем — выбор устройства используемого модема.

• Тип службы — выбор типа службы. Доступны следующие варианты:

  • UMTS/GPRS;

  • только UMTS;

  • только GPRS;

  • CDMA/EV-DO.

• APN — название точки доступа GPRS/3G+ мобильного оператора, через которую пользователь подключается к услуге передачи данных. От правильности настройки APN зависит стабильная работа и тарификация услуги.

• PIN — PIN-код, если на SIM-карте используется защита PIN-кодом.

• Имя пользователя PAP/CHAP — имя пользователя для аутентификации PAP/CHAP.

• Пароль PAP/CHAP — пароль для аутентификации PAP/CHAP.

• Dial номер — номер набора для соединения.

Во вкладке Дополнительные настройки (см. раздел) доступны следующие настройки:

• Время ожидания инициализации модема — максимальное время ожидания готовности модема(в секундах).

• Использовать шлюз по умолчанию — настройка использования данного интерфейса в качестве маршрута по умолчанию.

  Если данная настройка включена, то данный интерфейс будет использоваться в качестве маршрута по умолчанию. В противном случае маршрут по умолчанию настраиваться не будет.

• Использовать метрику шлюза — указание метрики шлюза для данного интерфейса.

• Использовать объявляемые узлом DNS-сервера — настройка использования DNS-серверов, полученных от DHCP-сервера.

  Если настройка включена, то полученные от DHCP-сервера адреса DNS-серверов будут использованы в качестве основных. В противном случае полученные от DHCP-сервера адреса DNS-серверов игнорируются.

• Порог ошибок эхо-запросов LCP — порог ошибок получения эхо-пакетов LCP, после которого узел считается недоступным. При установке значения 0 ошибки получения эхо-пакетов LCP игнорируются.

• Интервал эхо-запросов LCP — интервал отправки эхо-запросов LCP (в секундах).

• Промежуток времени бездействия — задаёт допустимый промежуток времени бездействия (в секундах).

  Если соединение не активно указанный промежуток времени, то оно будет автоматически завершено. При установке значения 0 неактивное соединение будет удерживаться бесконечно.

Данный протокол предназначен для создания защищенного производительного WireGuard интерфейса, позволяющего организовать доступ через VPN-тунель к серверу с минимальными значениями задержки. Более подробная информация о настройке WireGuard VPN приведена на официальном сайте проекта.

Для протокола WireGuard VPN во вкладке Общие настройки доступны следующие настройки:

• Приватный ключ — строка, куда вставляется сгенерированный в кодировке Base64 закрытый (приватный) ключ для интерфейса WireGuard.

• Сгенерировать ключ — кнопка генерации нового случайного приватного ключа. Нажатие этой кнопки приведёт к генерации нового случайного приватного ключа, значение которого будет автоматически вставлено в поле ввода Приватный ключ.

• Порт для входящих соединений — UDP-порт для входящих пакетов. По умолчанию, 51820.

• IP-адреса — разрешенные IP-адреса интерфейса WireGuard.

Во вкладке Пиры выполняется настройка удалённых WireGuard-серверов (пиров).

Для каждого WireGuard-сервера доступны следующие настройки:

• Описание — необязательное текстовое описание удалённого WireGuard-сервера

• Публичный ключ — строка, куда вставляется сгенерированный в кодировке Base64 публичный ключ для интерфейса WireGuard.

• Предварительный ключ — шифрованный общий ключ в кодировке Base64, который добавляет дополнительный слой криптографии с симметричным ключом для постквантовой устойчивости.

• Разрешенные IP-адреса — IP-адрес и префиксы, с которых будет допущен трафик.

• Маршрутизировать разрешенные IP-адреса — установка данного параметра позволяет создавать маршруты для разрешенных IP-адресов для конечного узла.

• Конечный узел — доменное имя или IP-адрес конечного устройства.

• Порт конечного узла — порт для входящих и исходящих пакетов конечного узла. По умолчанию, 51820.

• Постоянно держать включенным — количество секунд между сохранением сообщений. По умолчанию, «0» (отключено). Рекомендуемое значение, если это устройство находится за NAT — «25».

Для добавления дополнительного удалённого WireGuard-сервера необходимо нажать кнопку Добавить узел (peer), расположенную внизу окна настроек.

Для удаления удалённого WireGuard-сервера необходимо нажать кнопку Удалить, расположенную перед блоком настроек соответствующего WireGuard-сервера.

Данный протокол не имеет дополнительных настроек и предназначен для интерфейсов, которые не управляются службой netifd.

Основные параметры зоны можно изменить в строке таблицы зон при помощи соответствующих элементов управления (см. рисунок). Для изменения дополнительных параметров зоны необходимо нажать кнопку Изменить в строке соответствующей зоны. При этом откроется всплывающее окно редактирования параметров зоны с вкладками:

• Общие настройки;

• Дополнительные настройки;

• Отслеживание соединений (conntrack);

• Дополнительные аргументы iptables.

Вкладка Общие настройки

Внешний вид окна редактирования параметров зоны межсетевого экрана с открытой вкладкой Общие настройки показан на рисунке:

На вкладке Общие настройки в дополнение к уже перечисленным ранее основным настройкам зон (см. выше) доступны следующие настройки:

• Имя — уникальное символьное имя зоны.

• Ограничение MSS — включает или отключает ограничение MSS при передаче для данной зоны.

• Использовать сети — выбор сетевых интерфейсов, входящих в указанную зону.

• Охватываемые сети — список сетей, входящих в настраиваемую зону.

Дополнительно, на вкладке Общие настройки, для каждой зоны указывается политика перенаправления между зонами при помощи следующих настроек:

• Разрешить перенаправление в зоны назначения — разрешает перенаправление трафика из редактируемой зоны в выбранные зоны-назначения.

• Разрешить перенаправление из зон источников — разрешает перенаправление трафика из выбранных зон-источников в редактируемую зону.

Примечание

Трафиком зон-назначения является перенаправленный трафик, исходящий из редактируемой зоны.

Трафиком зон-источников является трафик, направленный в редактируемую зону.

Перенаправление является однонаправленным, то есть перенаправление из одной зоны в другую зону не допускает перенаправление трафика в обратную сторону.

Вкладка Дополнительные настройки

На вкладке Дополнительные настройки доступны следующие настройки:

• Охватываемые устройства — настройка позволяет классифицировать трафик зоны по сетевым устройствам (в том числе сетевые устройства не управляемые через веб-интерфейс).

• Охватываемые подсети — настройка позволяет классифицировать трафик зоны по источнику или подсети назначения вместо сети или устройства.

• Использовать протокол — выбор версии используемого IP-протокола в указанной зоне. Возможен выбор из вариантов:

  • только IPv4;

  • только IPv6;

  • IPv4 и IPv6.

• Использовать маскарадинг только для указанных подсетей-отправителей — позволяет ограничить использование трансляции адресов указанными подсетями-отправителями;

• Использовать маскарадинг только для указанных подсетей-получателей — позволяет ограничить использование трансляции адресов указанными подсетями-получателями;

• Включить журналирование в этой зоне — включает или отключает запись срабатывания правил межсетевого экрана для данной зоны в системный журнал.

Вкладка Отслеживание соединений (conntrack)

Внешний вид вкладки Отслеживание соединений (conntrack) показан на рисунке:

На вкладке Отслеживание соединений (conntrack) доступны следующие настройки:

• Разрешить «недействительный» трафик — настройка позволяет не устанавливать дополнительные правила для отклонения перенаправляемого трафика с состоянием «недействительный» (invalid). Это может потребоваться, например, для сложных настроек асимметричной маршрутизации.

• Автоматическое назначение помощников — управляет автоматическим назначением помощников отслеживания соединений (conntrack) на основе протокола и порта трафика для редактируемой зоны.

Вкладка Дополнительные аргументы iptables

На вкладке Дополнительные аргументы iptables расположены настройки, позволяющие передать произвольные аргументы iptables в правила классификации входящего и исходящего трафика зоны.

Внимание

Передача аргументов iptables в правилах классификации входящего и исходящего трафика позволяет сопоставлять пакеты, основанные на других критериях, нежели чем интерфейсы или подсети. Эти опции следует использовать с особой осторожностью, так как неверные значения могут привести к нарушению работы правил межсетевого экрана, полностью открывая доступ ко всем службам системы.

Внешний вид вкладки Дополнительные аргументы iptables показан на рисунке:

На вкладке Дополнительные аргументы iptables доступны следующие настройки:

• Дополнительные аргументы для источника — дополнительные аргументы iptables для классификации трафика зоны источника. Например, для классификации только входящего трафика HTTPS (TCP порт 443):

  -p tcp --sport443

• Дополнительные аргументы для назначения — дополнительные аргументы iptables для классификации трафика зоны назначения. Например, для классификации только исходящего трафика HTTPS (TCP порт 443):

  -p tcp --dport443

Для добавления новой зоны предназначена кнопка Добавить, расположенная снизу таблицы зон. При её нажатии откроется всплывающее окно редактирования параметров зоны, как и при изменении (редактировании) существующих зон.

Удаление существующей зоны выполняется при помощи кнопки Удалить, расположенной в строке соответствующей зоны.

Правила перенаправления применяются в том порядке (сверху вниз), в котором они указаны в таблице. Для изменения порядка правил предназначены кнопки ≡ (см. рисунке), позволяющие переместить соответствующее правило вверх или вниз.

Для редактирования правил перенаправления портов необходимо нажать кнопку Изменить (см. рисунке), расположенную в строке соответствующего правила. Откроется страница редактирования правила перенаправления портов, как показано на рисунке.

Данное окно разделено на две вкладки:

• Общие настройки

  ;

• Дополнительные настройки

  .

Вкладка Общие настройки

На данной странице доступны для редактирования следующие настройки правила перенаправления портов:

• Имя — уникальное символьное имя правила;

• Протокол — выбор протокола правила. Возможен выбор из вариантов:

  • любой — любой протокол. При выборе данного варианта другие протоколы выбрать нельзя;

  • UDP;

  • TCP;

  • ICMP;

  • пользовательский (произвольное имя протокола).

  В зависимости от выбранного протокола набор настроек может несущественно меняться.

• Зона источника — выбор зоны источника трафика для правила;

• Внешний порт — позволяет ограничить применение правила для входящих подключений на указанный порт или диапазон портов. Данная настройка доступна только для UDP и TCP протоколов;

• Внутренняя зона — выбор зоны назначения (перенаправления) трафика для правила;

• Внутренний IP-адрес — выбор IP-адреса для перенаправления трафика. Трафик правила будет перенаправляться на указанный IP-адрес;

• Внутренний порт — выбор порта для перенаправления трафика. Трафик правила будет перенаправляться на указанный порт внутреннего IP-адреса. Данная настройка доступна только для UDP и TCP протоколов.

Вкладка Дополнительные настройки

Внешний вид вкладки Дополнительные настройки показан на рисунке:

На данной вкладке доступны для редактирования следующие настройки:

• MAC-адрес источника — позволяет указать один или несколько MAC-адресов источника трафика для правила. Если MAC-адреса заданы, то правило будет применяться только для входящего трафика от указанных MAC-адресов;

• IP-адрес источника — позволяет указать один или несколько IP-адресов источника трафика для правила. Если IP-адреса заданы, то правило будет применяться только для входящего трафика от указанных IP-адресов;

• Порт источника — позволяет указать порт или диапазон портов источника трафика для правила. Если этот параметр задан, то правило будет применяться только для входящего трафика от указанного порта или диапазона портов устройства источника трафика. Данная настройка доступна только для UDP и TCP протоколов;

• Внешний IP-адрес — позволяет ограничить применение правила для входящих подключений на указанный IP-адрес. Если не задан (значение «любой»), то правило применяется к входящим подключениям на все IP-адреса устройства;

• Включить NAT Loopback — включить для данного правила технологию NAT Loopback;

  Данная технология позволяет считать пакет, пришедший из внутренней сети на внешний IP-адрес устройства, как пакет пришедший извне. Таким образом, для такого пакета работают правила межсетевого экрана, относящиеся к внешним соединениям.

  При включении данной настройки появляется дополнительная опция IP-адрес источника петли (loopback), при помощи которой можно выбрать какой IP-адрес будет использоваться для отраженного трафика — внутренний или внешний.

• Соответствие помощнику — настройка позволяет указать конкретного помощника отслеживания соединений (conntrack).

• Соответствие метки — настройка позволяет указать метку или диапазон меток межсетевого экрана для соответствия трафика правила.

• Соответствие по ограничениям — настройка ограничивает сопоставление трафика указанной скорости.

• Дополнительные аргументы — позволяет указать дополнительные аргументы для команды iptables.

Для добавления нового правила перенаправления портов необходимо заполнить основные параметры нового правила перенаправления в таблице подраздела Новое перенаправление порта (см. рисунок) и нажать кнопку Добавить.

Значения параметров добавляемого правила описаны в разделе редактирования параметров правил перенаправления портов (раздел).

Для удаления правила перенаправления портов предназначена кнопка Удалить, расположенная в строке соответствующего правила.

Правила для трафика применяются в том порядке (сверху вниз), в котором они указаны в таблице. Для изменения порядка правил предназначена кнопка «≡», позволяющая переместить соответствующее правило в таблице.

Для редактирования правила для трафика необходимо нажать кнопку Изменить, расположенную в строке соответствующего правила. При этом откроется всплывающее окно настроек правила для трафика, как показано на рисунке:

Окно настроек разбито на несколько вкладок:

• Общие настройки;

• Дополнительные настройки;

• Временные ограничения.

Вкладка Общие настройки

На данной вкладке доступны для редактирования следующие настройки:

• Имя — уникальное символьное имя правила;

• Протокол — выбор протоколов для правила. Возможен выбор одного или нескольких протоколов из следующего списка:

  • только IPv4;

  • только IPv6;

  • IPv4 и IPv6;

• Протокол — выбор протокола входящего трафика правила. Возможен выбор из вариантов:

  • Любой;

  • UDP;

  • TCP;

  • IGMP;

  • ICMP;

  • IPSEC-ESP;

  • пользовательский (произвольное имя протокола);

    В зависимости от выбранного протокола набор настроек может несущественно меняться.

• Зона источника — выбор источника трафика для правила. Кроме конкретной зоны можно указать следующие варианты:

  • Устройство — любой исходящий трафик на любом IP-адресе устройства;

  • Любая зона — источником трафика для данного правила является любой входящий трафик от любого хоста любой зоны межсетевого экрана;

• Адрес источника — позволяет указать один или несколько IP-адресов источника трафика для правила. Если IP-адреса заданы, то правило будет применяться только для входящего трафика от указанных IP-адресов;

• Порт источника — позволяет указать порт или диапазон портов источника трафика для правила. Если этот параметр задан, то правило будет применяться только для входящего трафика от указанного порта или диапазона портов устройства источника трафика. Данная настройка доступна только для UDP и TCP протоколов;

• Зона назначения — выбор назначения трафика для правила. Кроме конкретной зоны возможно указать следующие варианты:

  • не определено — любой трафик;

  • Устройство — любой исходящий трафик на любой IP-адрес устройства;

  • Любая зона — любой исходящий трафик на любой хост в любой зоне межсетевого экрана;

• Адрес назначения — для правил перенаправления указывается IP-адрес для перенаправления. Трафик правила будет перенаправляться на указанный IP-адрес;

• Порт назначения — для правил перенаправления указывается порт для перенаправления трафика. Трафик правила будет перенаправляться на указанный порт адреса назначения. Данная настройка доступна только для UDP и TCP протоколов;

• Действие — выбор действия, применяемого для входящего (или перенаправляемого) трафика данного правила. Возможен выбор из вариантов:

  • принимать;

  • отвергать;

  • не обрабатывать;

  • не отслеживать;

  • назначить помощника отслеживания соединений — в этом случае появляется дополнительная опция Помощник отслеживания, в которой необходимо выбрать из списка помощника отслеживания соединений для назначения соответствующему трафику;

  • применить метку брандмауэра — в этом случае появляется дополнительная опция Установить метку, в которой необходимо указать метку, которую требуется установить.

  • XOR метка брандмауэра — в этом случае появляется дополнительная опция XOR метка, в которой необходимо указать значение, с котором будет произведена побитовая операция XOR над существующим значением метки;

  • DSCP классификация — в этом случае появляется дополнительная опция DSCP метка, в которой необходимо выбрать из списка значение требуемой DSCP метки.

Вкладка Дополнительные настройки

На данной вкладке доступны для редактирования следующие настройки:

• Соответствие устройству — настройка позволяет привязать правило к конкретному входящему или исходящему сетевому устройству. При выборе значения Входящее устройство или Исходящее устройство появляется дополнительная настройка Имя устройства, в которой необходимо выбрать конкретное устройство.

При выборе значения не определено правило не будет привязано к какому либо конкретному сетевому устройству.

• Использовать протокол — выбор версий IP-протокола для данного правила. Возможен выбор из вариантов:

  • только IPv4;

  • только IPv6;

  • IPv4 и IPv6.

• Соответствовать ICMP типу — выбор типов ICMP пакетов, для которых данное правило будет применяться. Настройка доступна только в случае выбора ICMP протокола

  .

• MAC-адрес источника — позволяет указать один или несколько MAC-адресов источника трафика для правила. Если MAC-адреса заданы, то правило будет применяться только для входящего трафика от указанных MAC-адресов.

• Соответствие помощнику — настройка позволяет указать конкретного помощника отслеживания соединений (conntrack)

  .

• Соответствие метки — настройка позволяет указать метку или диапазон меток межсетевого экрана для соответствия трафика правила.

• Соответствие DSCP — настройка позволяет указать DSCP метку с которой будет производиться сопоставление трафика для правила.

• Соответствие по ограничениям — настройка ограничивает сопоставление трафика указанной скорости.

• Дополнительные аргументы — позволяет указать дополнительные аргументы для команды iptables

Вкладка Временные ограничения

Внешний вид вкладки Временные ограничения показан на рисунке:

На данной вкладке доступны для редактирования следующие настройки:

• Дни недели, дни месяца — позволяет указать дни недели и/или дни месяца, в которые данное правило должно применяться. Если данные настройки указаны, то правило будет применяться только в указанные дни.

• Время начала, время окончания — позволяет указать время начала и окончания действия правила. Если данные настройки указаны, то правило будет применяться только в указанный период времени.

• Дата начала, дата окончания — позволяет указать даты начала и окончания действия правила. Если данные настройки указаны, то правило будет применяться только в указанный период дат.

• Время UTC — если данная настройка включена, то время действия правила указывается в UTC. В противном случае время указывается в локальной временной зоне.

Для добавления нового правила для трафика предназначена кнопка «Добавить», расположенная снизу таблицы правил для трафика. При этом откроется всплывающее окно редактирования параметров правила, как и при изменении (редактировании) существующего правила.

Для удаления правила для трафика предназначена кнопка Удалить, расположенная в строке соответствующего правила.

Правила NAT применяются в том порядке (сверху вниз), в котором они указаны в таблице. Для изменения порядка правил предназначена кнопка ≡, позволяющая переместить соответствующее правило в таблице.

Для редактирования правила NAT необходимо нажать кнопку Изменить, расположенную в строке соответствующего правила. При этом откроется всплывающее окно настроек правила NAT, как показано на рисунке:

Окно настроек разбито на несколько вкладок:

• Общие настройки;

• Дополнительные настройки;

• Временные ограничения.

Вкладка Общие настройки

На данной вкладке доступны для редактирования следующие настройки:

• Имя — уникальное символьное имя правила.

• Протокол — выбор протоколов для правила. Возможен выбор одного или нескольких протоколов из следующего списка:

  • любой — любой протокол. При выборе данного варианта, другие протоколы выбрать нельзя;

  • UDP

    ;

  • TCP

    ;

  • ICMP

    ;

  • пользовательский (произвольное имя протокола).

• Исходящая зона — выбор исходящей зоны для трафика правила.

• Адрес источника — указание соответствия адреса источника перенаправляемого трафика.

• Адрес назначения — указание соответствия адреса назначения перенаправляемого трафика.

• Действие — выбор действия, применяемого для трафика данного правила. Возможен выбор из вариантов:

  • SNAT — перезапись IP-адреса источника на указанный. При выборе данного действия появляется дополнительная настройка IP-адрес для перезаписи, где необходимо указать перезаписываемое значение IP-адреса источника

    .

  • MASQUERADE — автоматическая перезапись IP-адреса источника на IP-адрес исходящего интерфейса

    .

  • ACCEPT — отключить перезапись IP-адреса источника.

Вкладка Дополнительные настройки

Внешний вид вкладки Дополнительные настройки показан на рисунке:

На данной вкладке доступны для редактирования следующие настройки:

• Исходящее устройство — настройка позволяет привязать правило к конкретному исходящему сетевому устройству. При выборе значения «не определено» правило не будет привязано к какому либо конкретному сетевому устройству.

• Соответствие метки — настройка позволяет указать метку или диапазон меток межсетевого экрана для соответствия трафика правила.

• Соответствие по ограничениям — настройка ограничивает сопоставление трафика указанной скорости.

• Дополнительные аргументы — позволяет указать дополнительные аргументы для команды iptables.

Вкладка Временные ограничения

Внешний вид вкладки Временные ограничения показан на рисунке:

На данной вкладке доступны для редактирования следующие настройки:

• Дни недели, дни месяца — позволяет указать дни недели и/или дни месяца, в которые данное правило должно применяться. Если данные настройки указаны, то правило будет применяться только в указанные дни.

• Время начала, время окончания — позволяет указать время начала и окончания действия правила. Если данные настройки указаны, то правило будет применяться только в указанный период времени.

• Дата начала, дата окончания — позволяет указать даты начала и окончания действия правила. Если данные настройки указаны, то правило будет применяться только в указанный период дат.

• Время UTC — если данная настройка включена, то время действия правила указывается в UTC. В противном случае время указывается в локальной временной зоне.

Для добавления нового правила NAT предназначена кнопка Добавить, расположенная снизу таблицы правил для трафика. При этом откроется всплывающее окно редактирования параметров правила, как и при изменении (редактировании) существующего правила.

Для удаления правила NAT предназначена кнопка Удалить, расположенная в строке соответствующего правила.