Подробный гайд: Блокировка ненужных IP-адресов в закрытой сети ViPNet

Инструкция по блокировке нежелательных IP-адресов в защищённой сети ViPNet: настройка фильтров на Client, Coordinator и Policy Manager

2026.05.05                

Подробный гайд: Блокировка ненужных IP-адресов в закрытой сети ViPNetПодробный гайд: Блокировка ненужных IP-адресов в закрытой сети ViPNet

Важно:

Настройка фильтрации в ViPNet зависит от используемого компонента: ViPNet Client (рабочие станции), ViPNet Coordinator (шлюз/координатор) или ViPNet Policy Manager (централизованное управление). Ниже приведены инструкции для всех сценариев.

1. Блокировка на уровне ViPNet Client (локально)

Через ViPNet Монитор (графический интерфейс)

  1. Запустите ViPNet Монитор → перейдите в раздел «Сетевые фильтры».
2. Выберите тип фильтра:
  • Фильтры защищенной сети — для трафика внутри ViPNet (шифрованный)
  • Фильтры открытой сети — для обычного незашифрованного трафика
3. Нажмите «Создать» → в окне свойств фильтра:
  • Имя: укажите понятное название (например, Блокировка подозрительного хоста)
  • Действие: выберите «Блокировать трафик»
4. В разделе «Источники» добавьте блокируемый объект:
  • Нажмите «Добавить»«IP-адрес» → введите адрес (например, 192.168.100.55)
  • Либо выберите «Диапазон адресов» для блокировки подсети
5. В разделе «Назначения»:
  • Оставьте пустым — правило применится ко всем направлениям
  • Или укажите «Мой узел», если нужно блокировать только входящий трафик
6. В «Протоколы» можно сузить правило:
  • Выберите конкретный протокол (TCP/UDP/ICMP) и порты
  • Или оставьте «Все протоколы» для полной блокировки
    1. При необходимости задайте «Расписание» действия правила
    2. Нажмите OKПрименитьперезагрузите компьютер для гарантированного применения

Через командную строку (ViPNet EPP Agent)

Для Linux-версии с агентом управления:

# Подключение к агенту
/opt/epp-agent/bin/epp_mc_cli --login=admin <пароль>

# Добавление пользовательского фильтра
# Блокировка исходящего трафика на 10.0.0.50 по протоколу TCP
epp_mc_cli filter add src @local dst 10.0.0.50 proto tcp action drop

# Блокировка всего трафика с/на конкретный хост
epp_mc_cli filter add src 192.168.1.100 dst @local action drop

2. Блокировка на уровне ViPNet Coordinator (шлюз)

Через веб-интерфейс Coordinator HW/VA

  1. Авторизуйтесь в веб-консоли ViPNet Coordinator
  2. Перейдите: Фильтрация трафикаПравила фильтрации
3. Нажмите «Добавить правило»:
   Тип: Открытый трафик (или Защищённый, если нужно)
   Действие: DROP (блокировать)
   Источник: 192.168.100.55/32  (или @any для любого источника)
   Назначение: @local (если блокируем доступ К координатору)
               или конкретный IP туннелируемого узла
   Протокол: any / tcp / udp / icmp
   Порт: any / конкретный номер

Через CLI (командный интерпретатор)

# Подключение к координатору
ssh admin@coordinator-ip

# Блокировка трафика ОТ узла с конкретным ID в защищённой сети
# (только для Coordinator HW 4.3.2+, в VA 4.5.1+ синтаксис изменён)
firewall vpn add src 0x1a12000a dst @local drop

# Блокировка открытого трафика НА конкретный IP
firewall open add src @any dst 10.10.10.100 proto tcp dport 22 action drop

# Разрешение только конкретных протоколов (белый список)
firewall open add src @trusted_nets dst @local proto @allowed_services pass
firewall open add src @any dst @local drop  # Запрет всего остального

Важно:

В ViPNet Coordinator VA версии 4.5.1+ правила фильтрации защищённого трафика (firewall) требуют, чтобы хотя бы один из параметров src/dst был @local или @broadcast, так как координатор фильтрует только трафик, адресованный ему или исходящий от него. Трафик «клиент-клиент» шифруется энд-ту-энд и не расшифровывается координатором.

3. Централизованная настройка через ViPNet Policy Manager

Это предпочтительный способ для корпоративных сетей.

Шаги настройки:

  1. Запустите ViPNet Policy Manager → подключитесь к серверу управления
  2. В дереве объектов выберите группу узлов или конкретный узел
  3. Перейдите: Политики безопасностиСетевые фильтры
4. Нажмите «Добавить фильтр»:
  • Укажите направление: Входящий / Исходящий / Оба
- Источник/Назначение:
 - Выберите из справочников (узлы, группы, диапазоны)
 - Или создайте новую группу объектов: `Группы объектов` → `Создать` → `Добавить IP-адреса`

- Протоколы и порты: задайте ограничения при необходимости - Действие: «Запретить» (Drop) или «Разрешить» (Pass)

5. Примените политику:

  • Нажмите «Отправить политику» → узлы получат обновление при следующем соединении
  • Или принудительно: на клиенте ViPNet МониторСервисПолучить обновления

Пример: Блокировка доступа к внешнему ресурсу для всех клиентов

Группа узлов: Все рабочие станции
Фильтр:
  Направление: Исходящий
  Источник: @local (или конкретная подсеть)
  Назначение: 203.0.113.50 (нежелательный хост)
  Протокол: any
  Действие: Drop
  Приоритет: Высокий (чтобы переопределял разрешающие правила)

4. Дополнительные рекомендации

Проверка правил

  • Журнал трафика: В ViPNet МониторЖурнал IP-пакетов можно отслеживать, какие пакеты блокируются
  • Тестирование: После создания правила выполните ping или telnet к целевому адресу для проверки
  • Приоритеты: Правила обрабатываются сверху вниз. Блокирующие правила с высоким приоритетом должны располагаться выше разрешающих

Частые ошибки

Проблема Решение
Правило не применяется Перезагрузите компьютер или перезапустите ViPNet-драйвер
Блокируется весь трафик Проверьте, не стоит ли глобальное правило @any → @any drop без исключений
Не работает фильтрация в Coordinator Убедитесь, что в src/dst указан @local для правил firewall в версии 4.5.1+
Конфликт с другим фаерволом Удалите сторонние сетевые экраны (Windows Firewall, Kaspersky и др.) перед настройкой ViPNet

Безопасность

  • Регулярно резервируйте конфигурацию фильтров
  • Используйте группы объектов вместо прямых IP — это упрощает масштабирование
  • Включите журналирование блокировок для аудита
  • Для критичных правил добавьте расписание, чтобы минимизировать риск человеческой ошибки

5. Аварийное восстановление доступа

Если после настройки фильтров пропал доступ к сети:

1. Локально на клиенте:
  • Загрузитесь в Безопасном режиме
  • Откройте ViPNet МониторСервисНастройки приложенияУправление трафиком
  • Снимите галочку «Блокировать все протоколы, кроме IPv4, ARP»
  • Или временно отключите фильтры: Сетевые фильтры → снять галочки с активных правил
2. Через консоль управления:
  • В Policy Manager отмените последнюю отправленную политику
  • Или создайте и отправьте политику с разрешающими правилами
3. На Coordinator:
   # Временное отключение фильтрации открытого трафика
   firewall open disable

   # Просмотр активных правил
   firewall open show

Итог: Для блокировки конкретных IP в ViPNet используйте:

  • Локально: ViPNet МониторСетевые фильтры
  • Централизованно: ViPNet Policy Manager (рекомендуется)
  • На шлюзе: Веб-интерфейс или CLI ViPNet Coordinator

Всегда тестируйте правила в изолированной среде перед применением в продуктиве, и ведите журнал изменений конфигурации.

×

Полный размер Слайдшоу Предыдущий Следующий