Просмотреть исходный

Обработка транзитного трафика:

Eltex Knowledge Base > Порядок обработки трафика межзоновыми правилами firewall > scheme1.png

Входящий трафик - это любой первый входящий пакет сессии, поступающий в user-zone1. Он проверяется набором правил начиная с меньшего по нумерации, указанной в zone-pair. Если пакет подпадает под все условия, прописанные в правиле (match), выполняется действие прописанное в правиле (action) и дальнейший просмотр правил прекращается.

zone-pair: <user-zone1> → anyПроверяется, есть ли совпадение с данным набором правил:
- Если найдено совпадение и action permit → переход к обработки правил zone-pair <user-zone1> <user-zone2>.
- Если совпадений нет → переход к обработки правил zone-pair <user-zone1> <user-zone2>.
- Если правило срабатывает с action deny → трафик запрещается.
zone-pair: <user-zone1> <user-zone2>
Также происходит проверка правил для пользовательских зон:
- permit → трафик разрешён.
- deny → трафик запрещён.
- нет совпадений → переход к обработки правил zone-pair any any.
zone-pair: any → any
Последний уровень проверки:
- permit → трафик разрешается.
- deny или нет совпадений → трафик запрещается.

Подробней о "security zone-pair <user-zone> any"

Создание разрешающего правила в "security zone-pair <user-zone1> any" не разрешает прохождение транзитного трафика, так как после обработки этим набором пакет передаётся на обработку набором "security zone-pair <user-zone1> <user-zone2>" и только там может быть действительно разрешен.

Функционал конфигурирования "security zone-pair <user-zone> any" реализовано для:

Классификации фрагментированных пакетов (match fragment)
Классификации пакетов содержащих ip-option (match ip-option)
Возможности либо запретить вышеперечисленные пакеты (action deny), либо ограничить их (action [rate-limit total pps / session-limit])

Функционал session-limit доступен только на моделях ESR-30, ESR-31, ESR-3100, ESR-3150, ESR-3200, ESR-3200L, ESR-3300.

Обработка терминируемого трафика (к self)

Eltex Knowledge Base > Порядок обработки трафика межзоновыми правилами firewall > scheme2.png

Входящий трафик к self - пакеты, адресованные самому маршрутизатору.

zone-pair: any → self
Проверяется самое общее правило для доступа к self.
- Если есть совпадение и action permit → трафик разрешается.
- Если action deny → трафик запрещается.
- Если нет совпадений → переход к обработки правил zone-pair <user-zone> self.
zone-pair: user-zone → self
Более конкретное правило:
- permit → доступ к self разрешён.
- deny → доступ запрещён.
- нет совпадений → трафик запрещается по умолчанию.
zone-pair: any → any
Последний уровень проверки:
- permit → трафик разрешается.
- deny или нет совпадений → трафик запрещается.