Nội dung bài viết
8 Configuring firewall rules
Khi cấu hình các firewall rule trong Firewall > Rules, nhiều tùy chọn có sẵn để kiểm soát cách đối sánh và kiểm soát lưu lượng truy cập. Mỗi tùy chọn này được liệt kê trong phần này.
8.1 Action
Tùy chọn này chỉ định liệu rule sẽ pass, block hay reject traffic.
Pass Một gói tin phù hợp với rule này sẽ được phép đi qua tường lửa. Nếu theo dõi trạng thái được bật cho quy tắc, một mục nhập bảng trạng thái sẽ được tạo để cho phép lưu lượng truy cập trả lại có liên quan đi qua.
Block Một gói tin phù hợp với rule này sẽ bị loại bỏ.
Reject Một gói tin phù hợp với rule này sẽ bị loại bỏ và đối với các giao thức được hỗ trợ, một thông báo sẽ được gửi lại cho người khởi tạo cho biết rằng kết nối đã bị từ chối.
8.2 Disabled
Để disable rule mà không xóa rule đó khỏi danh sách rule, hãy chọn hộp này. Nó sẽ vẫn hiển thị trong màn hình firewall rule, nhưng rule sẽ xuất hiện màu xám để cho biết trạng thái bị vô hiệu hóa của nó.
8.3 Interface
Menu thả xuống interface xác định interface nhận lưu lượng truy cập được điều khiển bởi rule này. Hãy nhớ rằng trên interface và nhóm group tab rules, lưu lượng truy cập chỉ được filter trên interface nơi lưu lượng truy cập được bắt đầu. Lưu lượng truy cập bắt đầu từ mạng LAN đến Internet hoặc bất kỳ interface nào khác trên firewall được filter bởi LAN ruleset.
8.4 TCP/IP Version
Hướng dẫn quy tắc áp dụng cho lưu lượng truy cập IPv4, IPv6 hoặc cả IPv4+IPv6. Các rule sẽ chỉ phù hợp và hành động theo các gói dữ liệu phù hợp với giao thức chính xác. Aliases có thể được sử dụng có chứa cả hai loại địa chỉ IP và rule sẽ chỉ khớp với các địa chỉ từ giao thức chính xác.
8.5 Protocol
Giao thức rule này sẽ phù hợp. Hầu hết các tùy chọn này là self-explanatory. TCP / UDP sẽ khớp với cả lưu lượng truy cập TCP và UDP. Chỉ định ICMP sẽ hiển thị thêm một box được thả xuống để chọn ICMP type. Một số giao thức phổ biến khác cũng có sẵn.
Lưu ý: Trường này mặc định là TCP cho một rule mới vì nó là mặc định chung và nó sẽ hiển thị các trường mong đợi cho giao thức đó. Để làm cho rule áp dụng cho bất kỳ giao thức nào khác, hãy thay đổi trường này thành any. Một trong những sai lầm phổ biến nhất trong việc tạo ra các rule mới là vô tình tạo ra một rule TCP và sau đó không thể vượt qua lưu lượng truy cập non-TCP khác như ping, DNS,…
8.6 ICMP Type
Khi ICMP được chọn làm giao thức, danh sách thả xuống này chứa tất cả các loại ICMP có thể phù hợp. Khi vượt qua ICMP, cách tốt nhất là chỉ vượt qua các loại bắt buộc khi khả thi. Trường hợp sử dụng phổ biến nhất là chỉ chuyển một loại Echo Request điều này sẽ cho phép ping ICMP vượt qua.
Mẹo: Trong lịch sử, ICMP có một danh tiếng xấu nhưng nhìn chung nó có lợi và không xứng đáng với danh tiếng trên các mạng hiện đại. Việc cho phép loại ICMP bất kỳ thường được chấp nhận khi cho phép ICMP.
8.7 Source
Trường này chỉ định địa chỉ IP nguồn, subnet hoặc alias sẽ phù hợp với quy tắc này. Một hộp box sẽ thả xuống cho nguồn cho phép một số loại pre-defined khác của nguồn:
Any Khớp với bất kỳ địa chỉ nào
Single host or Alias Khớp với một địa chỉ IP hoặc alias name. Khi điều này hoạt động, một alias name có thể nhập vào trường Source Address.
Network Sử dụng cả 2 địa chỉ IP và subnet mask để khớp với một dài địa chỉ.
PPPoE Clients Macro sẽ khớp với lưu lượng truy cập từ dải địa chỉ máy client cho máy chủ PPPoE nếu máy chủ PPPoE được enable.
L2TP Clients Một macro sẽ khớp với lưu lượng truy cập từ dải địa chỉ máy client cho máy chủ L2TP nếu máy chủ L2TP được enable.
Interface Net Một mục trong danh sách này có sẵn cho mỗi interface trên firewall. Các macro này chỉ định subnet cho interface đó, bao gồm bất kỳ IP alias VIP subnets nào khác từ interface subnet được xác định.
Interface Address Một mục nhập trong danh sách này có sẵn cho mỗi interface trên firewall. Các marco này xác định địa chỉ IP được cấu hình trên interface đó.
Cảnh báo: Lựa chọn WAN Net cho nguồn hoặc đích có nghĩa là subnet của interface WAN. Các macros này chỉ định địa chỉ IP được cấu hình trên interface đó.
8.8 Destination
Trường này chỉ định địa chỉ IP đích, subnet hoặc alias sẽ phù hợp với rule này.
Đối với các quy tắc chỉ định TCP và/hoặc UDP, port đích, dải port hoặc alias cũng được chỉ định ở đây. Không giống như nguồn, cấu hình một port đích là bắt buộc trong nhiều trường hợp, vì nó an toàn hơn so với sử dụng bất kỳ port nào và thông thường port đích sẽ được biết trước dựa trên giao thức. Nhiều giá trị cổng phổ biến có sẵn trong danh sách drop-down hoặc chọn (other) để nhập giá trị theo cách thủ công hoặc sử dụng port alias.
Mẹo: Để chỉ định một dải port liên tiếp, hãy nhập giá trị port thấp hơn trong phần From và giá trị port cao hơn trong phần To.
8.9 Log
Hộp này xác định xem các gói tin phù hợp với rule này có được ghi vào firewall log hay không.
8.10 Description
Đây là phần mô tả của các rule, giúp nhận biết dễ dàng hơn.Đây là một tuỳ chọn và nó không làm ảnh hưởng đến chức năng của rule. Cách tốt nhất là nhập văn bản mô tả mục đích của rule. Độ dài tối đa là 52 ký tự.
