Управление сетями
Этот раздел описывает инструменты, доступные в панели «Управление сетями». Они позволяют строить гибкую, масштабируемую и защищённую сеть для внутренних сервисов и сотрудников. Все компоненты проектируются для совместной работы: правила файрвола фильтруют трафик, N2N устраняет лишние хопы между критичными узлами, WireGuard обеспечивает защищённый соединения для ручного использования, а прокси — мощный инструмент для работы программ.
Файрвол
Файрвол — центральный инструмент для контроля входящего сетевого трафика.
Группы узлов
- Объединяйте машины в логические группы (например:
db-cluster,app-frontend,ci-runners). - Все ноды в одной группе могут разрешать трафик друг с другом.
- Правила только для входящего трафика.
Обратите внимание
Трафик для интерфейсов, таких как локальный [lo] (127.0.0.0/8) и docker [docker0], разрешен по умолчанию. Однако для других, таких как те, которые начинаются с [br-..., veth...] (подсети: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ...), может потребоваться вручную добавить их подсети в список разрешенных.
Защита Docker DNAT
Cloudnetip Firewall защищает от Docker
DNATоткрытых портов потому что перехватывает трафик на уровнеPREROUTINGдо того, как Docker применяетDNATи вставляет свои правила маршрутизации.
Когда пакет приходит извне на опубликованный Docker порт, стандартный путь в Linux такой:
PREROUTING (raw/mangle/nat)
↓
DNAT (Docker)
↓
routing decision
↓
FORWARD / INPUT
↓
containerDocker в PREROUTING выполняет DNAT и “переписывает” адрес назначения с:
public_ip:published_port → container_ip:container_port
🎉 Cloudnetip Firewall добавляет правила в PREROUTING раньше Docker DNAT chain и тем самым:
- Видит оригинальный пакет до изменения адреса назначения
dst = server_ip:published_port - Может применить фильтрацию до Docker, если пакет:
- не разрешён по source IP
- не подходит под policy
- попадает под drop rule
Пакет уничтожается до
DNAT, поэтому:❌ Docker даже не узнаёт о пакете
❌ контейнер не получает трафик
❌ опубликованный порт фактически “закрыт извне”
Cloudnetip Firewall работает как pre-DNAT security layer, без такого уровня фильтрации Docker-порты:
- автоматически становятся доступными извне при
-p - обходят обычный firewall, если тот стоит только в
INPUT/FORWARD - требуют отдельной настройки
iptables/nftables
Черная дыра
- Blackhole — временная, мгновенная блокировка входящего трафика для выбранных нод.
- Осуществляется через API: массовая постановка IPv4/IPv6-адресов в состояние «отбрасывать» без создания длительных правил.
- Полезно при инцидентах (DDoS, массовая компрометация) — быстро выключить приём вх. трафика.
Внимание: Blackhole незамедлительно прекращает приём пакетов, но не удаляет состояние подключений на стороне пиров.
N2N
Netip N2N (Node to Node) — высокоскоростной безопасный туннель, устанавливаемый напрямую между двумя нодами и гибкой настройкой разрешённых портов.
Когда использовать
- Для приватного обмена данными между критичными сервисами без промежуточных ретрансляторов.
- Когда требуется минимальная задержка и предсказуемая пропускная способность.
WireGuard
WireGuard — лёгкий и быстрый протокол VPN с фокусом на простоте и безопасности.
Развёртывание и управление
- В панели можно: развернуть WireGuard-сервер, создавать профили клиентов.
- Поддерживается мониторинг подключений и контроль tx/rx трафика.
Прокси
Цель организовать работу браузеров и других программ, использующих протокол TCP.
HTTP/S и CONNECT
- HTTP/S прокси — основной способ организации проксирования для браузеров и приложений на TCP.
- Для туннелирования используется метод CONNECT.
- Можно развернуть на всех нодах один экземпляр.
Защита от SSRF
Встроенные проверки предотвращают использование прокси как вектора SSRF (Server-Side Request Forgery)
HTTPS сертификат
HTTPS прокси требует действующий сертификат для домена при подключении. Если не установлен, автоматически устанавливается самоподписанный - корректная работа не гарантируется.