Запрещающее правило межсетевого экрана
Запрещающее правило нужно для того, чтобы запретить доступ к какому-либо сервису из внешней или внутренней сети по IP-адресу, протоколу или порту.
Добавить запрещающее правило можно в меню Сеть > Межсетевой экран > Правила.
- Нажмите «Добавить» и выберите «Запрещающее правило» — откроется окно добавления правила.
- Если требуется, введите описание.
- В раскрывающихся списках можно выбрать:
- направление трафика: входящий на ИКС, исходящий с ИКС, входящий и исходящий;
- протокол;
- источник;
- порт источника;
- назначение;
- порт назначения;
- интерфейс.
В ИКС можно маршрутизировать входящий и исходящий трафик и фильтровать его по перечисленным параметрам. Если поле оставить пустым, по умолчанию у него будет стоять значение «любой» (например, любой порт, любой источник).
Поэтому если сохранить запрещающее правило по умолчанию (все поля со значением «любой») и применить его к пользователю (группе), то межсетевой экран полностью заблокирует все коммуникации пользователя (группы) через ИКС.
- При необходимости установите флаг «Отправить ICMP Unreachable». Тогда при попытке одной стороны выполнить команду ping другой стороны отправится данное сообщение и ICMP-пакет будет заблокирован.
- Выберите время действия в отдельном окне.
- Нажмите «Добавить» — созданное правило отобразится на вкладке.
Чтобы создать исключение для запрещающего правила, используйте разрешающее правило.