> ## Documentation Index
> Fetch the complete documentation index at: https://docs.axottle.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Сетевая безопасность

> Каталог опасных портов, контроль исходящего трафика и firewall на нодах Axottle.

Axottle помогает контролировать сетевую поверхность нод: блокировать опасные исходящие порты, следить за подозрительным трафиком и поддерживать firewall в нужном состоянии.

<Info>
  Для кого: администратор и SRE.
  Требуемые права: администратор панели.
</Info>

## Каталог опасных портов

В панели есть фиксированный каталог опасных портов, разбитый по категориям. Для каждой категории задано действие по умолчанию и признак того, можно ли её реально применить (enforceable). Каждая категория сопровождается пояснением, почему блокировка безопасна или, наоборот, почему её делать не следует.

| Категория                                 | Действие по умолчанию   |
| ----------------------------------------- | ----------------------- |
| Исходящий SMTP (почтовый спам-релей)      | Блокировать / отклонять |
| Усиление UDP-атак (amplification)         | Отбрасывать             |
| Удалённое администрирование (SSH/RDP/VNC) | Только обнаружение      |
| Сканирование баз данных                   | Только обнаружение      |
| Порты IoT-сканирования                    | Только обнаружение      |
| Майнинг / proxyware                       | Только обнаружение      |

<Note>
  Служебные порты, критичные для работы (в частности, DNS и NTP), сознательно **не блокируются** — вместо этого за аномалиями по ним следит детектор. Это исключает случайную поломку резолвинга времени и имён.
</Note>

## Контроль исходящего трафика (Egress Guard)

Egress Guard применяет политику опасных портов на нодах. Важнейший принцип — **«сохранено» ≠ «применено»**: сохранение желаемой политики не означает, что она уже действует на ноде. Защита считается применённой только когда агент ноды подтвердил соответствующее состояние.

Порядок работы, статусы и откат подробно описаны в разделе [Egress Guard](/ru/operations/egress).

<Warning>
  Не путайте Egress Guard с «внешними транзитными egress-блоками» в Connection Units — это разные функции. Egress Guard блокирует опасные порты на ноде; транзитные блоки Connection Unit направляют исходящий трафик через внешнюю ноду. См. [Маршрутизация Connection Units](/ru/connection-units/routing).
</Warning>

## Firewall и профили безопасности

Состояние firewall дополнительно покрывается модулями профилей безопасности: базовый firewall, разрешение необходимых портов, блокировка опасных портов, резервная копия правил и откат правил при потере соединения. Соответствие фактического состояния firewall профилю проверяется оценкой соответствия ноды.

Подробнее — [Аудит и соответствие](/ru/security/audit-and-compliance).

## Проверка

<Check />

## Откат

* Снять блокировку egress: измените политику на прежнюю и повторно примените (`reconcile`) — см. [Egress Guard](/ru/operations/egress).
* Изменения firewall через профили безопасности откатываются переназначением прежнего профиля ноде.

<Note>Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.</Note>
