NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
кбит/с для приоритета 2, 64 кбит/с для приоритета 4 и затем пустить различные типы трафика с<br />
заданными каждому из них приоритетами. Тем не менее, при таком подходе существует две<br />
очевидные проблемы:<br />
• Какой трафик наиболее важен? Этот вопрос не является существенным, но приобретает<br />
значение по мере увеличения комплексности сценария Traffic shaping.<br />
• Количество приоритетов ограничено. Возможно, данного количества будет недостаточно во<br />
всех случаях, даже если исключить проблему «Какой трафик наиболее важен?».<br />
Решение заключается в создании двух новых каналов: один для трафика Telnet и другой для трафика<br />
SSH, подобно тому, как ранее был создан канал «surf».<br />
Сначала удалите ограничение в 96 кбит/с в канале std-in, затем создайте два новых канала: ssh-in и<br />
telnet-in. Для обоих каналов укажите приоритет 2 в качестве приоритета по умолчанию, и,<br />
соответственно, задайте ограничения для приоритета 2 в 32 и 64 кбит/с.<br />
Далее, разделите предварительно указанное правило, отвечавшее за диапазон портов 22-23 на два<br />
отдельных правила для каждого порта 22 и 23 соответственно:<br />
Оставьте в качестве прямой цепочки для обоих правил только канал std-out. Для упрощения данного<br />
примера мы рассматриваем только входящий трафик, в этом направлении заполнение канала<br />
наиболее вероятно в условиях, ориентированных на клиента.<br />
В качестве обратной цепочки в правиле для порта 22 укажите канал ssh-in и следующий за ним канал<br />
std-in. В качестве обратной цепочки в правиле для порта 23 укажите канал telnet-in и следующий за<br />
ним канал std-in.<br />
В качестве значения приоритета в обоих правилах выберете Use defaults from first pipe; для обоих<br />
каналов ssh-in и telnet-in приоритетом по умолчанию является приоритет 2.<br />
Использование данного подхода является более рациональным решением, чем указание приоритета 2<br />
в наборе правил, при этом можно легко изменить приоритет всего трафика SSH и Telnet, поменяв<br />
приоритет по умолчанию каналов ssh-in и telnet-in.<br />
Помните, что мы не задали общее ограничение для каналов ssh-in и telnet-in. В этом нет<br />
необходимости, так как общее ограничение будет осуществлено с помощью канала std-in,<br />
расположенного в конце соответствующих цепочек.<br />
Каналы ssh-in и telnet-in действуют в качестве «приоритетных фильтров» (priority filter): благодаря<br />
им через канал std-in будет проходить только зарезервированное количество трафика с приоритетом<br />
2 (64 и 32 кбит/с соответственно). Остальная часть трафика SSH и Telnet, превысившего свои<br />
гарантии, пройдет через канал std-in с приоритетом 0, который является приоритетом<br />
негарантированной доставки для каналов std-in и ssh-in.<br />
10.1.7. Группы каналов<br />
Примечание: Порядок обратной цепочки имеет<br />
значение<br />
В данном случае порядок указания каналов в обратной цепочки крайне<br />
важен. Если поставить канал std-in перед ssh-in и telnet-in,<br />
то трафик будет пропущен через канал std-in с наименьшим приоритетом и,<br />
следовательно, будет конкурировать за 250 кбит/с доступной полосы пропускания с<br />
остальным трафиком.<br />
Система NetDefendOS обеспечивает дополнительный уровень управления каналами благодаря<br />
возможности разделить полосу пропускания канала между отдельными пользователями в рамках<br />
группы и применить для каждого пользователя ограничение и гарантию.<br />
Можно выделить отдельных пользователей в соответствии с одним из следующих пунктов:<br />
• IP-адрес источника (Source IP)<br />
438