Перейти к основному содержанию
Egress Guard — намеренно компактный контроль опасного исходящего трафика с нод. Вы включаете и выключаете категории из фиксированного каталога опасных портов; панель компилирует выбор в версионированный набор правил с контрольным хэшем, агент устанавливает правила на ноде и возвращает хэш того, что фактически установлено в ядре. Панель считает защиту применённой только когда желаемый и фактический хэши совпали.
Для кого: администратор панели / SRE. Требуемые права: сессия администратора; на ноде нужен агент с поддержкой firewall-операций.
Не путайте Egress Guard с «external transit egress blocks» — это другая функция: VLESS-переходы (egress-хопы) в графе Connection Unit, см. Маршрутизация Connection Units.

Принцип «сохранено ≠ применено»

Изменения сначала сохраняют желаемую политику. Состояние её применения по нодам отображается отдельно во вкладке Применение.

Каталог категорий

Каталог фиксированный — свободного списка портов в стандартном интерфейсе нет, и это осознанно:
КатегорияПортыДействие по умолчанию
Почтовый SMTPTCP 25, 465, 587, 2525Блокируется (reject) — включено по умолчанию
UDP-амплификацияUDP 17, 19, 69, 111, 137, 161, 389, 1900, 11211Блокируется (drop) — включено по умолчанию
Удалённое администрирование (SSH/RDP/VNC)Только детекция
Базы данныхТолько детекция
IoT-цели сканированияТолько детекция
Proxyware / майнинг / подозрительноеТолько детекция
  • Действия: drop, reject, detect (детекция не ставит правило в firewall — только питает детекторы).
  • DNS (53) и NTP (123) сознательно никогда не блокируются — вместо блокировки за ними наблюдает детектор аномального fan-out.
  • Переопределение портов доступно только в расширенном режиме; политика с неизвестными категориями, действиями или портами отклоняется.

Как работает сверка

  • Политика хранится одной записью с версией (каждое сохранение поднимает версию) и флагом auto_reapply.
  • Примерно каждые 5 минут панель обходит все ноды: если желаемый хэш изменился или правила ещё не применялись — отправляет применение; иначе выполняет дешёвое чтение состояния, которое ловит дрейф, случившийся вне панели (ручной сброс правил, перезагрузка ноды).
  • Автопочинка дрейфа выполняется только при включённом auto_reapply — и никогда в том же проходе, который сам только что применял правила (защита от циклов). При выключенном флаге дрейф просто фиксируется и остаётся на решение оператора.
  • Нода, чей агент не поддерживает firewall-операции, показывается как unsupported, а не «применено».
  • Статусы по нодам: pending, applied, drift, failed, unsupported, unknown — в интерфейсе сортируются от худшего к лучшему. Изменения политики и действия сверки пишутся в аудит-лог.

Настройка

1

Посмотрите каталог и текущую политику

Откройте Безопасность → Egress Guard.
2

Сохраните политику

Включите нужные категории и нажмите Сохранить политику.
3

Примените сейчас (по желанию)

Перейдите во вкладку Применение и нажмите Сверить сейчас.

Проверка

  • После изменения политики дождитесь плановой сверки или нажмите Сверить сейчас.
Защита действует на ноде, если его статус — applied, то есть хэш правил в ядре ноды совпал с желаемым.

Откат

  • Снять блокировку: выключите категорию или переведите её в detect, сохраните политику и нажмите Сверить сейчас.
  • Автопочинку дрейфа можно отключить флагом auto_reapply — панель перестанет самовольно возвращать правила и будет лишь сообщать о дрейфе.

Ограничения и риски

  • Категории detect не защищают трафик — они только наблюдают.
  • Между сохранением политики и её применением есть окно (до одного цикла сверки).
  • На нодах без поддержки firewall у агента защита не применяется — статус unsupported требует обновления или донастройки агента.
Откройте вкладку Применение и нажмите Сверить сейчас. Если включена автопочинка, панель повторно применит желаемое состояние.
Агент на ноде не имеет firewall-возможности. Проверьте версию агента и его capabilities на странице ноды.
Это нормально сразу после сохранения. Дождитесь цикла сверки или нажмите Сверить сейчас.
Связанные страницы: Маршрутизация Connection Units, Журнал и аудит.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.