[[shared:repo_s-t]]
==== Межсетевой экран ====
===== Общая информация =====
В ПО //**VipNet Клиент **// под ОС Windows и ПО VipNet Coordinator for Linux (поставлялся для всех ОС Linux до июня 2019 года), который работал как **//Клиент //** для ОС Linux, присутствует МЭ
В ПО VipNet для ОС Linux по умолчанию в МЭ запрещены входящие подключения, поэтому, например, при расшаривании принтера он не будет "виден" для других АРМ сети.
Настройка в ОС Windows не представляет трудностей восполняется интуитивно в графическом режиме. Настройка для ОС Linux описана ниже.
Для выполнения настройки потребуются пароль к dst-файлу установленному на данное АРМ, а так же пароль администратора (можно узнать позвонив в техподдержку по номер 45-00-45)
==== Настройка правил МЭ в ПО VipNet ====
* Открыть системную консоль
* Выполнить вход под пользователем root командой: **su**
* Запустить командную оболочку VipNet: **/sbin/vipnet shell**
* Ввести пароль для DST-файла
* В случае успеха. ввести команду: **enable**
* Ввести пароль администратора
\\ Если пароль вводите правильно, но оболочка его не принимает, возможно для вашего ПК закончился срок его действия. Необходим звонок в техническую поддержку для дальнейших консультаций \\
После того как вы попали в системную консоль VipNet можете создавать правила используя синтаксис:
**firewall local add rule** //"Название_правила"// **src** //"Адресация_источника_пакетов"// **dst **//"Адресация _назначения_пакетов" "протокол"// **dport **//"номер_порта_назначения"// **sport **//"номер_порта_источника" "операнд пропуска или запрета (//**pass/drop**//)"//
В качестве адресов источника/назначения могут быть использованы специальные лексемы для обозначения групп объектов, а так же несколько адресов или подсетей
//Примеры команд//
|Разрешить входящие tcp пакеты из подсети 192.168.13.0/24 на порт 1234 локального компьютера.|**firewall local add rule Remote src 192.168.13.0/24 dst @local tcp dport 1234 pass** |
|Разрешить все входящие для локального ПК|**firewall local add rule All-input src @any dst @local pass** |
|Запретить исходящие пакеты на 80 и 443 порт (Запрет интернет трафика)|**firewall local add rule http-x src @local dst @any tcp dport 80,443 drop** |
\\