Перейти к основному содержанию
Axottle помогает контролировать сетевую поверхность нод: блокировать опасные исходящие порты, следить за подозрительным трафиком и поддерживать firewall в нужном состоянии.
Для кого: администратор и SRE. Требуемые права: администратор панели.

Каталог опасных портов

В панели есть фиксированный каталог опасных портов, разбитый по категориям. Для каждой категории задано действие по умолчанию и признак того, можно ли её реально применить (enforceable). Каждая категория сопровождается пояснением, почему блокировка безопасна или, наоборот, почему её делать не следует.
КатегорияДействие по умолчанию
Исходящий SMTP (почтовый спам-релей)Блокировать / отклонять
Усиление UDP-атак (amplification)Отбрасывать
Удалённое администрирование (SSH/RDP/VNC)Только обнаружение
Сканирование баз данныхТолько обнаружение
Порты IoT-сканированияТолько обнаружение
Майнинг / proxywareТолько обнаружение
Служебные порты, критичные для работы (в частности, DNS и NTP), сознательно не блокируются — вместо этого за аномалиями по ним следит детектор. Это исключает случайную поломку резолвинга времени и имён.

Контроль исходящего трафика (Egress Guard)

Egress Guard применяет политику опасных портов на нодах. Важнейший принцип — «сохранено» ≠ «применено»: сохранение желаемой политики не означает, что она уже действует на ноде. Защита считается применённой только когда агент ноды подтвердил соответствующее состояние. Порядок работы, статусы и откат подробно описаны в разделе Egress Guard.
Не путайте Egress Guard с «внешними транзитными egress-блоками» в Connection Units — это разные функции. Egress Guard блокирует опасные порты на ноде; транзитные блоки Connection Unit направляют исходящий трафик через внешнюю ноду. См. Маршрутизация Connection Units.

Firewall и профили безопасности

Состояние firewall дополнительно покрывается модулями профилей безопасности: базовый firewall, разрешение необходимых портов, блокировка опасных портов, резервная копия правил и откат правил при потере соединения. Соответствие фактического состояния firewall профилю проверяется оценкой соответствия ноды. Подробнее — Аудит и соответствие.

Проверка

Откат

  • Снять блокировку egress: измените политику на прежнюю и повторно примените (reconcile) — см. Egress Guard.
  • Изменения firewall через профили безопасности откатываются переназначением прежнего профиля ноде.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.