Пакеты, которые не подпадают ни под одно правило в цепочке, будут обработаны действием по умолчанию(Default Action). Обычно, по умолчанию - пропустить(ACCEPT) пакет. На главной странице модуля, действие по умолчанию для каждой цепочки отображается справа от кнопки Set default action(Установить действие по умолчанию).
Для изменения Default Action, сделайте следующее:
1. Выберите новое действие по умолчанию из выпадающего списка, справа от кнопки Set default action(Установить действие по умолчанию).
Доступные действия:
- ACCEPT(Пропустить);
- DROP(Отбросить);
- USERSPACE(Пользовательская обработка);
- EXIT.
Смотри раздел Фильтрация сетевого трафика, чтобы подробней узнать об этих действиях. Обычно используются ACCEPT и DROP.
2. Нажмите на кнопку Set default action(Установить действие по умолчанию), для установки действием по умолчанию, действие выбранное в п.1.
3. Если действием по умолчанию выбрано DROP, то обязательно добавьте дополнительные правила, которые бы разрешали вашей системе взаимодействовать с другими серверами и поддерживать важные сервисы.
4. Когда закончите, нажмите кнопку Apply Configuration(Применить конфигурацию), чтобы назначить новое действие по умолчанию.
Установка DROP как действия по умолчанию, позволяет моментально обрезать весь трафик к вашей системе и возможно сделать её недоступной. Рекомендуется, разрешить следующие типы трафика:
- Все устанавливаемые соединения от вашей системы Для этого создайте разрешительное правило с Connection state(Статус подключения) в значении Equals(Равно) Existing connection(Существующее подключение).
- Соединения связанные с уже установленными, типа FTP Создайте разрешительное правило с Connection state(Статус подключения) в значении Equals(Равно) Related to existing(Связанное с существующим).
- Весь трафик на петлевом(loopback) интерфейсе Создайте разрешительное правило с критерием Incoming interface(Входящий интерфейс) в значении Equals(Равно) lo.
- Трафик от вашей системы самой себе на главный интерфейс Для каждого интерфейса создайте разрешительное правило с полями Source address or network(IP адрес источника или сеть) и Destination address or network(IP адрес назначения или сеть) установленными в значение IP адреса главного интерфейса.
- Безопасные ICMP типы пакетов Создайте четыре разрешительных правила для ICMP пакетов типа Equals echo-reply, destination-unreachable, source-quench и time-exceeded.
Изменение действия по умолчанию для проходящих(FORWARD) пакетов на DROP, может быть причиной многих проблем - эквивалентно закрытию всего трафика в сеть. Изменение действия по умолчанию, для исходящих пакетов на DROP - не лучшая идея, так как это обрежет весь сетевой доступ и, возможно, имеет очень мало смысла в большинстве случаев.
Ссылки:
К содержанию