Русский

English

Русский

English

Тема

Управление сетями

Этот раздел описывает инструменты, доступные в панели «Управление сетями». Они позволяют строить гибкую, масштабируемую и защищённую сеть для внутренних сервисов и сотрудников. Все компоненты проектируются для совместной работы: правила файрвола фильтруют трафик, N2N устраняет лишние хопы между критичными узлами, WireGuard обеспечивает защищённый соединения для ручного использования, а прокси — мощный инструмент для работы программ.

Файрвол

Файрвол — центральный инструмент для контроля входящего сетевого трафика.

Группы узлов

  • Объединяйте машины в логические группы (например: db-cluster, app-frontend, ci-runners).
  • Все ноды в одной группе могут разрешать трафик друг с другом.
  • Правила только для входящего трафика.

Обратите внимание

Трафик для интерфейсов, таких как локальный [lo] (127.0.0.0/8) и docker [docker0], разрешен по умолчанию. Однако для других, таких как те, которые начинаются с [br-..., veth...] (подсети: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ...), может потребоваться вручную добавить их подсети в список разрешенных.

Черная дыра

  • Blackhole — временная, мгновенная блокировка входящего трафика для выбранных нод.
  • Осуществляется через API: массовая постановка IPv4/IPv6-адресов в состояние «отбрасывать» без создания длительных правил.
  • Полезно при инцидентах (DDoS, массовая компрометация) — быстро выключить приём вх. трафика.

Внимание: Blackhole незамедлительно прекращает приём пакетов, но не удаляет состояние подключений на стороне пиров.

N2N

Netip N2N (Node to Node) — высокоскоростной безопасный туннель, устанавливаемый напрямую между двумя нодами и гибкой настройкой разрешённых портов.

Когда использовать

  • Для приватного обмена данными между критичными сервисами без промежуточных ретрансляторов.
  • Когда требуется минимальная задержка и предсказуемая пропускная способность.

WireGuard

WireGuard — лёгкий и быстрый протокол VPN с фокусом на простоте и безопасности.

Развёртывание и управление

  • В панели можно: развернуть WireGuard-сервер, создавать профили клиентов.
  • Поддерживается мониторинг подключений и контроль tx/rx трафика.

Прокси

Цель организовать работу браузеров и других программ, использующих протокол TCP.

HTTP/S и CONNECT

  • HTTP/S прокси — основной способ организации проксирования для браузеров и приложений на TCP.
  • Для туннелирования используется метод CONNECT.
  • Можно развернуть на всех нодах один экземпляр.

Защита от SSRF

Встроенные проверки предотвращают использование прокси как вектора SSRF (Server-Side Request Forgery)

HTTPS сертификат

HTTPS прокси требует действующий сертификат для домена при подключении. Если не установлен, автоматически устанавливается самоподписанный - корректная работа не гарантируется.