{{tag>Услуги "Услуга 13" "Мини Firewall"}}
====== Мини Firewall ======
{{indexmenu_n>13}}

Услуга предназначена для повышения защищенности от взлома оборудования абонентов с белыми((В случае серых адресов роль своеобразной защиты играет NAT)) адресами (IPv4 и IPv6).
На адрес абонента закрываются все входящие запросы на порты ниже указанного порога (обычно 1024 - на все системные порты),
но при этом некоторые порты можно оставить открытыми, например, для доступа к домашнему NAS.
Также можно заблокировать некоторую вредоносную активность, исходящую от абонента, например если в результате анализа netflow или получения abuse
выяснилось, что абонент занимается спамом, то можно закрыть ему исходящие порты, связанные с почтовой рассылкой.

<note important>Нужно учитывать, что часто в этом случае абонент не виновен, просто его компьютер заражен вирусом или является частью чужой ботнет-сети.
В этом случае рекомендуется показать абоненту страницу уведомления с помощью услуги 6 с описанием проблемы и предложением подписки на антивирус,
и тем самым повысить продажи доп. услуг. В дальнейшем этот сервис планируется еще больше автоматизировать в QoE Store/Маркетинговых кампаниях
в части диагностики заражения, блокирования вредоносной активности и автоматической выдачи оповещения.</note>

Управление данным сервисом на уровне отдельных абонентов осуществляется с помощью [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|fdpi_ctrl]]

Формат команды:
<code>
fdpi_ctrl команда --service 13 [список_опций] [список_IP или Login]
</code>
Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления]]

Примеры:

активировать мини Firewall для конкретного абонента с именованным (заранее сконфигурированным) профилем
<code>
fdpi_ctrl load profile --service 13 --profile.name полный_firewall --profile.json '{  "max_port" : 1024, "port_holes" : [ 80, 8080 ], "out_port" : [ 25, 465 ] }'
fdpi_ctrl load --service 13 --profile.name полный_firewall --login ivan.ivanovich
</code>
где в формате json задаются следующие настройки профиля\\ 
max_port - номер порта, ниже которого блокируется доступ\\ 
port_holes - список портов, к которым разрешается доступ в обход ограничения max_port\\
out_port - список портов, на которые закрыт исходящий трафик 

Подключение абоненту мини Firewall с анонимным профилем (профиль без имени, который существует до отключения услуги у абонента)
<code>
fdpi_ctrl load --service 13 --profile.json '{  "max_port" : 1024, "port_holes" : [ 80, 8080 ], "out_port" : [ 25, 465 ] }' --login ivan.ivanovich
</code>

Поиск абонентов, которым подключен мини Firewall с заданным именем профиля
<code>
fdpi_ctrl list all --service 13 --profile.name полный_firewall
</code>

Удаление именованного профиля (не должно быть абонентов, которые его используют)
<code>
fdpi_ctrl del profile --service 13  --profile.name полный_firewall
</code>

Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)
<code>
fdpi_ctrl load profile --service 13 --profile.name полный_firewall --profile.json '{  "max_port" : 1024, "port_holes" : [ 80 ] }'
</code>

Максимальное количество профилей для мини Firewall задается настроечным параметром в /etc/dpi/fastdpi.conf
<code> max_profiles_frwl=24</code>
где 24 значение по умолчанию (максимально возможное значение 65535)
<note warning>Это холодный параметр и его изменение требует рестарта.</note>