Сетевые правила (ACL списки) используются для нескольких целей
Для уменьшения нагрузки на сетевые устройства сетевые правила рекомендуется устанавливать в in списках. Это отбросит не нужный пакет на этапе получения пакета сетевым устройством и не потрубует мощностей на пересылку пакета. При настройке сетевых правил на уровне интерфейса в проверке будет задействован трафик внутри ВЛАНа. Обычно, внутри ВЛАНов трафик не контролируется и поэтому лучшим местом размещения сетевых правил является их установка в ВЛАНе на вход в блоке IN.
Хорошей практикой считается размещение часто используемых сетевых правил в начало списка, а редко используемых в конец. Это тоже позволяет экономить ресурсы сетевых устройств. Сетевые устройства просматривают правила на соответствие сетевому пакету до первого совпадения строки правила с анализируемым пакетом. Поэтому если наиболее часто используемые правила установить в начале списка, то сетевые устройства чаще быстро завершат поиск по правилам. Современные устройства стали более производительными и в целях удобства администрирования можно игнорировать порядок сетевых правил и настраивать их не в порядке частоты их использования, а в некоем своем логическом порядке. Все же основным приоритетом является корректность настройки. А вероятность ошибки при настройке сетевых правил очень высока.
В большинстве случаев продумать и прописать все сетевые правила с первого раза не получится. Тут не стоит торопиться. Лучше действовать чуть медленнее, но уменьшить вероятность ошибок. Обязательно стоит оставить на некоторое время разрешение по той области трафика, в которой нет четкой детализации. И включить логирование этих пакетов. По каждой залогированной строке уже можно будет разобраться и понять, допустим ли трафик или нет, стоит ли его разрешать или запрещать. После этого вводяться новые правила, постепенно уменьшая неопределенную зону. После того, как в логах перестанут появляться новые строки уже стоит запрещать трафик в той области, которая осталась без детализации.
Так как сложно все помнить наизусть, то лучшим вариантом при настройках правил является их комментирование. По правилу не всегла просто вспомнить, зачем его вписали. Комментарий позволит быстро найти правило и его уточнить при необходимости. Именно отсутствие нормальной возможности указать комментарий и послужило изначально основной причиной написания данного сайта. Другие возможности были добавлены уже для получения большего удобства работы.
Условия использования
Программу можно использовать бесплатно согласно MIT License
© 2020 acledit@yandex.ru
При возникновении вопросов, предложений, обнаружении ошибок прошу их регистрировать по ссылке Gutlab.com проект acledit