Запрещающее правило межсетевого экрана

Запрещающее правило нужно для того, чтобы запретить доступ к какому-либо сервису из внешней или внутренней сети по IP-адресу, протоколу или порту.

Добавить запрещающее правило можно в меню Сеть > Межсетевой экран > Правила.

1. Нажмите «Добавить» и выберите «Запрещающее правило» — откроется окно добавления правила.
2. Если требуется, введите описание.
3. В раскрывающихся списках можно выбрать: 
   • направление трафика: входящий на ИКС, исходящий с ИКС, входящий и исходящий;
   • протокол;
   • источник (в том числе страну или территорию);
   • порт источника;
   • назначение (в том числе страну или территорию);
   • порт назначения;
   • интерфейс.

   В ИКС можно маршрутизировать входящий и исходящий трафик и фильтровать его по перечисленным параметрам. Если поле оставить пустым, по умолчанию у него будет стоять значение «любой» (например, любой порт, любой источник).

   Поэтому если сохранить запрещающее правило по умолчанию (все поля со значением «любой») и применить его к пользователю (группе), то межсетевой экран полностью заблокирует все коммуникации пользователя (группы) через ИКС.

   

4. При необходимости установите флаг «Отправить ICMP Unreachable». Тогда при попытке одной стороны выполнить команду ping другой стороны отправится данное сообщение и ICMP-пакет будет заблокирован.
5. Выберите время действия в отдельном окне.
6. Нажмите «Добавить» — созданное правило отобразится на вкладке.

Чтобы создать исключение для запрещающего правила, используйте разрешающее правило.