На этой странице отображается список сетевых интерфейсов, имеющихся в комплексе Dr.Web Office Shield, и их назначение сетевым зонам. Трафик всех интерфейсов, перечисленных в в списке, будет обрабатываться межсетевым экраном Shorewall с использованием правил по умолчанию или дополнительных правил маршрутизации.
Настройка сетевых интерфейсов
| • | Перейдите по ссылке Firewall в разделе Безопасность главного меню, |
| • | Нажмите ссылку Сетевые интерфейсы (interfaces). |
Вид страницы перечня сетевых интерфейсов приведен на рисунке ниже.
Конфигурация интерфейсов по умолчанию
По умолчанию в Dr.Web Office Shield выполнена следующая настройка сетевых интерфейсов и привязка к сетевым зонам:
Интерфейс |
Назначение |
Параметры |
|---|---|---|
eth0 |
Подключение локальной сети (LAN) Напрямую не используется |
– |
eth1 |
Подключение демилитаризованной зоны (DMZ) |
Зона: dmz (DMZ) Адрес: Определять автоматически Прочие параметры: tcpflags |
eth2 |
Подключение зоны глобальной сети (Интернета, WAN) |
Зона: inet (WAN) Адрес: Определять автоматически Прочие параметры: dhcp, tcpflags, nosmurfs |
wlan0 |
Подключение сети Wi-Fi Напрямую не используется |
– |
ppp+ |
Подключение PPP (для организации VPN) |
Зона: vpn (VPN) Адрес: Определять автоматически Прочие параметры: dhcp, tcpflags |
br0 |
Мост, объединяющий интерфейсы локальной сети eth0 и сети Wi-Fi wlan0 |
Зона: local (LAN + Wi-Fi) Адрес: Определять автоматически Прочие параметры: dhcp, tcpflags, routeback |
Добавление нового сетевого интерфейса
| 1. | Нажмите ссылку Добавить новый сетевой интерфейс. На экране откроется страница добавления нового сетевого интерфейса. |
| 2. | Задайте следующие параметры интерфейса: |
| • | Введите идентификатор интерфейса в поле Интерфейс; |
| • | Укажите Название зоны, связанной с этим интерфейсом, из выпадающего списка; |
| • | Укажите Адрес для пересылки (рекомендуется оставить вариант Определять автоматически). |
| • | Укажите, при необходимости, дополнительные параметры сетевого интерфейса, включив соответствующие флажки: |
Параметр |
Описание |
|---|---|
Интерфейс использует DHCP |
Этот интерфейс используется DHCP (в сетевой зоне, связанной с этим интерфейсом, используется DHCP) |
Игнорировать ICMP-запросы |
Интерфейс не будет отвечать на ICMP-запросы (ping) |
Проверять ICMP-запросы |
Поступающие ICMP-запросы будут проверяться, и обрабатываться будут только корректные |
Использовать, когда Shorewall отключен |
Интерфейс (и его подсеть) будет доступен при остановке межсетевого экрана |
Отклонять частные IP-пакеты |
Интерфейс будет отклонять частные IP-пакеты |
Разрешить multicast |
Будет разрешено использование этого интерфейса для работы в режиме multicast |
Включить фильтрацию антиспуфинг маршрута |
Разрешить для интерфейса фильтрацию пакетов с целью предотвращения спуфинг-атак (подмена IP-адреса отправителя в IP-пакетах). Пакеты с подмененными IP-адресом отправителя будут отбрасываться |
Не обрабатывать некорректные пакеты |
Поступающие некорректные пакеты будут отбрасываться |
Регистрировать некорректные пакеты |
Поступающие некорректные пакеты будут регистрироваться в журнале |
Проверять на недопустимые TCP-флаги |
Будут отбрасываться пакеты с неправильным сочетанием флагов протокола TCP |
Включить протокол ARP |
Включить прием и обработку интерфейсом ARP-запросов (важно, если интерфейс обеспечивает работу PPP с Proxy ARP). |
Регистрировать пакеты с невозможными источниками |
Записывать в журнал появление IP-пакетов с невозможным адресом отправителя |
Принять трафик обратно на хост |
Обязать принимать весь трафик, являющийся ответным на запросы, прошедшие через этот интерфейс, на этот же интерфейс |
Отвечать только на запросы ARP для IP интерфейса |
Отвечать на запросы ARP, только если они об IP-адресах, находящихся в сетевой зоне, подключенной к этому интерфейсу |
Принимать ARP-запросы только от локальных адресов |
Принимать запросы ARP только если они исходят из сетевой зоны, подключенной к этому интерфейсу |
Проверять наличие пересылаемых пакетов источника |
Отклонять пакеты с широковещательным адресом отправителя |
Приспосабливать зону для включения только маршрутизируемых хостов |
Автоматическое изменение состава сетевой зоны таким образом, чтобы в нее входили только хосты, маршрутизируемые через этот интерфейс |
Перераспределить пакеты через UPNP |
Использовать UPNP для распределения пакетов |
| 3. | Нажмите кнопку Сохранить. |
Вид страницы добавления нового сетевого интерфейса показан на рисунке ниже.
Управление списком сетевых интерфейсов
При помощи пиктограмм, размещенных в списке сетевых интерфейсов, можно управлять порядком их следования в списке:
|
Перемещение сетевого интерфейса на одну позицию в списке наверх |
|
Перемещение сетевого интерфейса на одну позицию в списке вниз |
|
Добавление в список нового сетевого интерфейса на позицию выше текущего |
|
Добавление в список нового сетевого интерфейса на позицию ниже текущего |
Редактирование сетевых интерфейсов
Для редактирования сетевого интерфейса нажмите на его название в списке, после чего на экране откроется страница редактирования параметров сетевого интерфейса, аналогичная странице добавления нового сетевого интерфейса.
Чтобы применить внесенные изменения, нажмите кнопку Сохранить. Чтобы удалить интерфейс, нажмите кнопку Удалить.
Удаление сетевых интерфейсов
Для удаления сетевого интерфейса выделите его в списке, активировав флажок в строке списка возле названия интерфейса. При необходимости можно выделить несколько сетевых интерфейсов, активировав соответствующие флажки. Дополнительные возможности выделения:
| • | Щелчок по ссылке Выделить все выделяет все сетевые интерфейсы в списке, |
| • | Щелчок по ссылке Инвертировать выделение инвертирует выделение, делая не выбранные элементы списка выбранными, и наоборот. |
Для удаления выбранных сетевых интерфейсов необходимо нажать кнопку Удалить выбранное.
|
Удаление сетевых интерфейсов – необратимая операция. В случае если удаленный интерфейс потребуется в дальнейшем, его придется создать и настроить заново. |
Ручная правка файла сетевых интерфейсов Shorewall
Имеется возможность отредактировать файл Shorewall, хранящий список сетевых интерфейсов. Для редактирования вручную файла Shorewall, расположенного в /etc/shorewall/, нажмите Редактировать файл вручную. После этого на экране откроется страница редактирования содержимого файла. Введите перечень интерфейсов в текстовое поле в формате, используемом Shorewall (одна строка – один интерфейс, поля разделяются пробелом или табуляцией).
Нажатие кнопки Сохранить сохраняет внесенные изменения в файл интерфейсов, а нажатие кнопки Отменить позволяет отказаться от внесения изменений в файл.
|
Обратите внимание, что при редактировании файла интерфейсов Shorewall вручную не производится проверка синтаксиса и корректности введенного текста. Неправильное заполнение файла может привести к сбросу списка интерфейсов Shorewall. |