...
Настроим маршрут по умолчанию в сторону интернет-провайдера:
| Блок кода |
|---|
esr(config)# ip route 0.0.0.0/0 10.0.0.254
|
Настроим систему разрешения доменных имен, её настройка необходима для работы Firewall по доменным именам:
| Блок кода |
|---|
esr(config)# domain lookup enable
esr(config)# domain nameserver 10.0.0.254 |
Настроим простую конфигурацию Source-NAT для любого транзитного через ESR трафика:
| Блок кода |
|---|
esr(config)# security zone LAN
esr(config)# nat source
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to zone WAN
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# action source-nat interface
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit
esr(config-snat)# exit |
Создадим профиль доменных имен, включающий в себя популярные домены компании "Яндекс":
| Информация |
|---|
ESR также позволяет работать с интернационализованными доменными именами (домены, использующие символы национальных алфавитов). Для их использования интернационализованного доменного имени в конфигурации ESR его нужно преобразовать к виду ASCII-compatible encoding при помощи любого Punycode-преобразователя. Т.е. получим: |
| Блок кода |
|---|
esr(config)# object-group domain-name YANDEX
esr(config-object-group-domain-name)# domain ya.ru
esr(config-object-group-domain-name)# domain yandex.ru
esr(config-object-group-domain-name)# domain dzen.ru
esr(config-object-group-domain-name)# domain xn--d1acpjx3f.xn--p1ai
esr(config-object-group-domain-name)# exit |
...
президент.рф → xn--d1abbgf6aiiy.xn–p1ai И уже ASCII-compatible encoding вариант доменного имени можно указывать в конфигурации ESR. |
| Блок кода |
|---|
esr(config)# security zoneobject-pair WAN LAN esr(config-security-zone-pair)# rule 1group domain-name YANDEX esr(config-securityobject-zonegroup-pairdomain-rulename)# actiondomain denyya.ru esr(config-securityobject-zonegroup-pairdomain-rulename)# match application BLACKLISTdomain yandex.ru esr(config-securityobject-zonegroup-pairdomain-rulename)# enable esr(config-security-zone-pair-rule)# exitdomain dzen.ru esr(config-securityobject-zone-pair)# rule 2 esr(config-security-zone-pair-rulegroup-domain-name)# action permit esr(config-security-zone-pair-rule)# enabledomain xn--d1acpjx3f.xn--p1ai esr(config-securityobject-zonegroup-pairdomain-rulename)# exit esr(config-security-zone-pair)# exit |
| Scroll Pagebreak |
|---|
Разрешим прохождение Для установки правил прохождения трафика из зоны «LAN» в зону «WAN» и отдельно создадим пару зон и добавим правило, запрещающее прохождение трафика приложений, и правило, разрешающее прохождение всего остального трафика. Действие правил разрешается командой enableправило, которе будет фиксировать в Syslog обращения на домены компании "Яндекс":
| Блок кода |
|---|
esr(config)# security zone-pair LAN WAN esr(config-security-zone-pair)# rule 1 esr(config-security-zone-pair-rule)# action permit denylog esr(config-security-zone-pair-rule)# match application BLACKLISTdestination-address object-group domain-name YANDEX esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# rule 2 esr(config-security-zone-pair-rule)# action permit esr(config-security-zone-pair-rule)# enable esr(config-security-zone-pair-rule)# exit esr(config-security-zone-pair)# exit |
| Scroll Pagebreak |
|---|
Посмотреть членство портов в зонах можно с помощью команды:
...
| Блок кода |
|---|
esr# show ip firewall sessions |
Посмотреть кеш DNS можно с помощью команд:
| Блок кода |
|---|
esr# show dns records
esr# show dns records negative |
Пример сообщения Syslog при срабатывании правила:
| Блок кода |
|---|
<190>1 2025-07-07T17:40:10+07:00 esr firewalld - - - %FIREWALL-I-LOG: zone-pair 'LAN WAN' rule 1 permitted tcp 192.168.0.21:45574 (gi1/0/2) -> 77.88.44.55:443 dscp 48 |
Пример настройки фильтрации приложений (DPI)
...