Skip to content

Управление сетями

Этот раздел описывает инструменты, доступные в панели «Управление сетями». Они позволяют строить гибкую, масштабируемую и защищённую сеть для внутренних сервисов и сотрудников. Все компоненты проектируются для совместной работы: правила файрвола фильтруют трафик, N2N устраняет лишние хопы между критичными узлами, WireGuard обеспечивает защищённый соединения для ручного использования, а прокси — мощный инструмент для работы программ.

Файрвол

Файрвол — центральный инструмент для контроля входящего сетевого трафика.

Группы узлов

  • Объединяйте машины в логические группы (например: db-cluster, app-frontend, ci-runners).
  • Все ноды в одной группе могут разрешать трафик друг с другом.
  • Правила только для входящего трафика.

Обратите внимание

Трафик для интерфейсов, таких как локальный [lo] (127.0.0.0/8) и docker [docker0], разрешен по умолчанию. Однако для других, таких как те, которые начинаются с [br-..., veth...] (подсети: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ...), может потребоваться вручную добавить их подсети в список разрешенных.

Защита Docker DNAT

Cloudnetip Firewall защищает от Docker DNAT открытых портов потому что перехватывает трафик на уровне PREROUTING до того, как Docker применяет DNAT и вставляет свои правила маршрутизации.

Когда пакет приходит извне на опубликованный Docker порт, стандартный путь в Linux такой:

PREROUTING (raw/mangle/nat)

DNAT (Docker)

routing decision

FORWARD / INPUT

container

Docker в PREROUTING выполняет DNAT и “переписывает” адрес назначения с:

public_ip:published_portcontainer_ip:container_port

🎉 Cloudnetip Firewall добавляет правила в PREROUTING раньше Docker DNAT chain и тем самым:

  1. Видит оригинальный пакет до изменения адреса назначения dst = server_ip:published_port
  2. Может применить фильтрацию до Docker, если пакет:
    • не разрешён по source IP
    • не подходит под policy
    • попадает под drop rule

Пакет уничтожается до DNAT, поэтому:

❌ Docker даже не узнаёт о пакете

❌ контейнер не получает трафик

❌ опубликованный порт фактически “закрыт извне”

Cloudnetip Firewall работает как pre-DNAT security layer, без такого уровня фильтрации Docker-порты:

  • автоматически становятся доступными извне при -p
  • обходят обычный firewall, если тот стоит только в INPUT/FORWARD
  • требуют отдельной настройки iptables/nftables

Черная дыра

  • Blackhole — временная, мгновенная блокировка входящего трафика для выбранных нод.
  • Осуществляется через API: массовая постановка IPv4/IPv6-адресов в состояние «отбрасывать» без создания длительных правил.
  • Полезно при инцидентах (DDoS, массовая компрометация) — быстро выключить приём вх. трафика.

Внимание: Blackhole незамедлительно прекращает приём пакетов, но не удаляет состояние подключений на стороне пиров.

N2N

Netip N2N (Node to Node) — высокоскоростной безопасный туннель, устанавливаемый напрямую между двумя нодами и гибкой настройкой разрешённых портов.

Когда использовать

  • Для приватного обмена данными между критичными сервисами без промежуточных ретрансляторов.
  • Когда требуется минимальная задержка и предсказуемая пропускная способность.

WireGuard

WireGuard — лёгкий и быстрый протокол VPN с фокусом на простоте и безопасности.

Развёртывание и управление

  • В панели можно: развернуть WireGuard-сервер, создавать профили клиентов.
  • Поддерживается мониторинг подключений и контроль tx/rx трафика.

Прокси

Цель организовать работу браузеров и других программ, использующих протокол TCP.

HTTP/S и CONNECT

  • HTTP/S прокси — основной способ организации проксирования для браузеров и приложений на TCP.
  • Для туннелирования используется метод CONNECT.
  • Можно развернуть на всех нодах один экземпляр.

Защита от SSRF

Встроенные проверки предотвращают использование прокси как вектора SSRF (Server-Side Request Forgery)

HTTPS сертификат

HTTPS прокси требует действующий сертификат для домена при подключении. Если не установлен, автоматически устанавливается самоподписанный - корректная работа не гарантируется.