Порядок обработки пакетов зависит от направления трафика. В таблице ниже приведен порядок обработки пакетов на С-Терра Шлюз для входящего и исходящего трафика.
Рисунок 3
Таблица 3
Входящий на интерфейс трафик |
Исходящий с интерфейса трафик |
1. Linux kernel, подсистема QoS (traffic control): ограничение полосы пропускания (policing) и классификация трафика. |
1. Linux kernel, подсистема Routing: статическая и динамическая маршрутизация. |
2. S-Terra ПО, подсистема Firewall: Input Stateful Packet Inspection (only TCP/FTP). |
2. Linux kernel, подсистема Firewall (netfilter): Output Stateful Packet Inspection. |
3. S-Terra ПО, подсистема Firewall: Input ACL. |
3. Linux kernel, подсистема NAT (netfilter): Source NAT. |
4. S-Terra ПО, подсистема IPsec: расшифрование (если зашифровано). |
4. S-Terra ПО, подсистема QoS: классификация и маркирование. |
5. S-Terra ПО, подсистема IPsec: фильтрация трафика в рамках IPsec SA. |
5. S-Terra ПО, подсистема IPsec: фильтрация трафика в рамках IPsec SA. |
6. S-Terra ПО, подсистема QoS: классификация и маркирование. |
6. S-Terra ПО, подсистема IPsec: зашифрование (если требуется). |
7. Linux kernel, подсистема NAT (netfilter): Destination NAT. |
7. S-Terra ПО, подсистема Firewall: Output ACL. |
8. Linux kernel, подсистема Routing: статическая и динамическая маршрутизация. |
8. S-Terra ПО, подсистема Firewall: Output Stateful Packet Inspection (only TCP/FTP). |
9. Linux kernel, подсистема Firewall (netfilter): Input Stateful Packet Inspection. |
9. Linux kernel, подсистема QoS (traffic control): ограничение полосы пропускания (shaping) и приоритизация трафика. |
Далее рассмотрим создание правил пакетной и контекстной фильтрации, а также классификацию и маркирование пакетов в интерфейсе командной строки и с помощью конфигурационного файла. Привязка правил фильтрации и классификации к интерфейсу описана в разделе «Настройка сетевых интерфейсов».