Модуль Twin Tunnel Firewall позволяет создать правила фильтрации для трафика, который уже прошел через систему защиты DDoS-Guard. Вы можете настроить фильтрацию по протоколам, подсетям и портам.
Создание правил Twin Tunnel Firewall
Перейдите на страницу услуги из личного кабинета, в разделе Защита L3–4 откройте вкладку Twin Tunnel Firewall и нажмите кнопку Создать.
На Базовом уровне защиты можно создать 5 правил фильтрации, на Оптимальном — 10 правил

После этого появится окно Создание правила.

1. Выберите Протокол, к которому будет применяться текущее правило фильтрации:
- ALL
- TCP
- UDP
- ICMP
- ESP
Если вы выбираете протокол ALL, фильтрация будет осуществляться только по полю заголовка IP.
Если на первом месте в списке будет стоять Правило с протоколом ALL и с действием Deny, весь входящий трафик будет заблокирован
2. В полях Подсеть SRC и Подсеть DST введите адреса подсети-источника и подсети-получателя в формате CIDR. Чтобы создать правило для одного хоста, используйте маску /32. Если оставить поле Подсеть DST пустым, то правило будет работать для всего трафика в вашу сторону (поведение по умолчанию).
3. Поля Порт SRC и Порт DST будут активны, если вы выбираете протокол TCP или UDP. В них нужно ввести данные порта источника и порта назначения.
Чтобы правило охватило все порты в диапазоне 0–65535, укажите 0 в полях Порт SRC и Порт DST
4. Выберите Действие, которое будет применяться в рамках правила:
- Permit — принять пакет
- Deny — отклонить пакет
5. При необходимости заполните поле Комментарий и нажмите Сохранить. Созданное правило появится в общем списке.

Редактирование правил
Правила Twin Tunnel Firewall применяются к трафику последовательно сверху вниз
Вы можете менять порядок обработки пакетов — для этого переместите правило, используя маркер перетаскивания слева. После завершения настройки нажмите Сохранить изменения в левом нижнем углу таблицы.

Созданные правила можно изменять: нажмите на меню действий справа и выберите опцию Редактировать. Обновите информацию во всплывающем окне и нажмите Сохранить.

Чтобы временно деактивировать правило, воспользуйтесь переключателем в таблице или кнопкой Включить правило в окне редактирования.
Просмотр статистики по правилу
Вы можете посмотреть статистику использования каждого правила в байтах и пакетах. Для этого нажмите на иконку графика справа и выберите необходимый период во всплывающем окне. Обработанный трафик будет показан с разной детализацией в зависимости от временного интервала.

Статистика неактивных правил отображается за период до их отключения
Примеры использования Twin Tunnel Firewall
Пример 1. Разрешить UDP-трафик только для доверенных IP-адресов
1) Создайте правило доступа для разрешенного адреса:
- Выберите протокол UDP
- Введите Подсеть SRC в формате CIDR
- Поле Подсеть DST оставьте пустым
- Установите действие Permit
Создайте отдельное правило для каждой подсети, которой нужно разрешить доступ.
2) Создайте правило для остального UDP-трафика:
- Выберите протокол UDP
- Введите значение 0.0.0.0/0 в поле Подсеть SRC
- Поле Подсеть DST оставьте пустым
- Установите действие Deny
Пример конфигурации
Необходимо пропустить на сервер UDP-трафик только из подсетей 198.51.100.126/32 и 198.51.100.127/32. Фильтрация по портам не требуется.
1) Правило для 198.51.100.126/32:
- Протокол: UDP
- Подсеть SRC: 198.51.100.126/32
- Порт SRC: 0
- Порт DST: 0
- Действие: Permit
2) Правило для 198.51.100.127/32:
- Протокол: UDP
- Подсеть SRC: 198.51.100.127/32
- Порт SRC: 0
- Порт DST: 0
- Действие: Permit
3) Правило для остального UDP-трафика:
- Протокол: UDP
- Подсеть SRC: 0.0.0.0/0
- Порт SRC: 0
- Порт DST: 0
- Действие: Deny

Пример 2. Ограничить доступ по странам и по IP-адресам
1) Настройте геоблокировку в модуле Twin Tunnel Geo-Block:
- Чтобы ограничить доступ к ресурсу из выбранных стран, установите режим обработки трафика Черный список
- Добавьте в список страны
2) В модуле Twin Tunnel Firewall создайте правило доступа для доверенного IP-адреса:
- Выберите протокол ALL
- Укажите Подсеть SRC, у которой будет доступ к ресурсу
- Установите действие Permit
Создайте отдельное правило для каждой подсети, которой нужно разрешить доступ.
Пакеты, пропущенные Twin Tunnel Firewall, будут переданы на ресурс без проверки другими модулями. Затем Twin Tunnel Geo-Block определит страну происхождения IP-адреса источника и заблокирует трафик со всех адресов, кроме разрешенных.
Пример конфигурации
Необходимо запретить доступ к ресурсу для США, но разрешить для публичного DNS-сервера Google — 8.8.8.8/32.
1) Настройка блокировки по странам в Twin Tunnel Geo-Block:
- Режим обработки трафика: Черный список
- Страны: США (US)
2) Правило для 8.8.8.8/32 в Twin Tunnel Firewall:
- Протокол: ALL
- Подсеть SRC: 8.8.8.8/32
- Действие: Permit
Twin Tunnel Firewall обрабатывает трафик раньше Twin Tunnel Geo-Block. Пропущенные правилами фаервола пакеты сразу передаются на ресурс. Поэтому адрес 8.8.8.8/32 сможет получить доступ, несмотря на блокировку трафика из США на уровне Geo-Block.


Принцип работы модулей Twin Tunnel
Трафик последовательно проходит через все модули Twin Tunnel. Каждый модуль анализирует входящие пакеты согласно своим правилам.
Обработка трафика начинается с Twin Tunnel Firewall. Правила фаервола не применяются к трафику, который был ранее заблокирован нашими фильтрами на уровнях L3–7.

Подробнее о работе правил Twin Tunnel читайте в инструкции «Как работает защита сети»