Сетевой экран реализован с двух сторон для гарантии абсолютного запрета выхода телефона “Алёшка” в интернет.

• На клиентском устройстве используется встроенный firewall Linux — iptables. Конфигурация строго ограничивает исходящие и входящие соединения: разрешён доступ только к VPN-серверу и DNS-серверу. Все остальные соединения заблокированы. На сервере, в рамках маршрутизатора, действует аналогичный firewall с набором правил, разрешающих только необходимые порты для функционирования сервисов. Это предотвращает возможность порт-фарминга или переназначения портов. Телефон в фоновом режиме проверяет корректность таблицы iptables и вносит изменения если она была изменена злоумышленниками
• Кроме того, на стороне маршрутизатора настроены правила детектирования и блокировки сканирования портов с использованием Port Scan Detection — PSD. Дополнительно внедрены механизмы защиты от перебора паролей на сервисах, что повышает уровень безопасности от brute-force атак и попыток несанкционированного доступа.

Таким образом, двусторонняя политика безопасности гарантирует, что телефон “Алёшка” строго ограничен в сети, а серверная часть защищена от внешних угроз, включая сканирование портов и перебор учётных данных.