[[shared:repo_s-t]]
==== Межсетевой экран ====

===== Общая информация =====

В ПО //**VipNet Клиент **//  под ОС Windows и ПО VipNet Coordinator for Linux (поставлялся для всех ОС Linux до июня 2019 года), который работал как **//Клиент //**  для ОС Linux, присутствует МЭ

В ПО VipNet для ОС Linux по умолчанию в МЭ запрещены входящие подключения, поэтому, например, при расшаривании принтера он не будет "виден" для других АРМ сети.

Настройка в ОС Windows не представляет трудностей восполняется интуитивно в графическом режиме. Настройка для ОС Linux описана ниже.

Для выполнения настройки потребуются пароль к dst-файлу установленному на данное АРМ, а так же пароль администратора (можно узнать позвонив в техподдержку по номер 45-00-45)

==== Настройка правил МЭ в ПО VipNet ====

  * Открыть системную консоль
  * Выполнить вход под пользователем root командой: **su**
  * Запустить командную оболочку VipNet: **/sbin/vipnet shell**
  * Ввести пароль для DST-файла
  * В случае успеха. ввести команду: **enable**
  * Ввести пароль администратора

<WRAP center round important 85%> \\ Если пароль вводите правильно, но оболочка его не принимает, возможно для вашего ПК закончился срок его действия. Необходим звонок в техническую поддержку для дальнейших консультаций \\ </WRAP>

После того как вы попали в системную консоль VipNet можете создавать правила используя синтаксис:

**firewall local add rule**  //"Название_правила"//  **src**  //"Адресация_источника_пакетов"//  **dst **//"Адресация _назначения_пакетов" "протокол"//  **dport **//"номер_порта_назначения"//  **sport **//"номер_порта_источника" "операнд пропуска или запрета (//**pass/drop**//)"//

В качестве адресов источника/назначения могут быть использованы специальные лексемы для обозначения групп объектов, а так же несколько адресов или подсетей

<WRAP center round box 98%>

//Примеры команд//

|Разрешить входящие tcp пакеты из подсети 192.168.13.0/24 на порт 1234 локального компьютера.|**firewall local add rule Remote src 192.168.13.0/24 dst @local tcp dport 1234 pass** |
|Разрешить все входящие для локального ПК|**firewall local add rule All-input src @any dst @local pass** |
|Запретить исходящие пакеты на 80 и 443 порт (Запрет интернет трафика)|**firewall local add rule http-x src @local dst @any tcp dport 80,443 drop** |

</WRAP>

\\