Роутеры ZyXel. Блокировка сайтов через правила Firewall
Итак, представим, что у нас в руках какой-нибудь ZyXel Keenetic (которые компания гордо называет интернет-центрами) и нам нужно разграничить доступ в интернет для различных хостов. Сначала разберемся с построением правил в целом, а после разберем задачку, где потребуется паре хостов предоставить неограниченный доступ, одному — только доступ к удаленному серваку, а всем остальным наглухо закрыть доступ в интернет. Всё это делается через пункт меню Безопасность -> Межсетевой экран.
Поставленные задачи можно решить с помощью правил межсетевого экрана для интерфейса Home Network. И всю эту настройку мы производим в указанном выше пункте меню.
Теперь простая задачка. Мы хотим, чтобы для всех хостов был закрыт доступ в соцсеть вконтакте. Для начала нужно узнать, какой или какие IP-адреса у этого сайта. Тут нам поможет консольная команда Windows — nslookup.
Нам прилетает ответ, что наш DNS-сервер резолвит данный адрес в такие-то IP-адреса. Их мы и прикроем.
Такое же правило сделаем для протокола UDP и ICMP. Всё, теперь доступ к втентаклю ограничен.
Это был самый простой вариант использования Firewall-правил, теперь перейдем к более творческой задаче, о которой уже говорилось в начале статьи.
Примечание. Принцип работы правил межсетевого экрана таков, что они выполняются по порядку сверху вниз, таким образом, разрешающие правила должны находится вверху списка, а общие правила для большого количества хостов следует располагать внизу списка.
Для реализации нашей задачи мы будем создавать правила на интерфейса Home network (Wired and wireless hosts), поэтому выберем его в соответствующем меню на вкладке межсетевого экрана.
И, как водится, тоже самое повторим для UDP и ICMP протокола. Теперь хост, имеющий IP 192.168.1.228 будет иметь доступ к любым узлам сети без каких-либо ограничений.
Важно! В качестве оффтопа объясню как на ZyXel настроить выдачу одного и того же IP конкретному хосту, т.е. как запилить привязку по MAC-адресу. Делается это в разделе меню Домашняя сеть во вкладке Устройства:
Теперь при подключении к роутеру данное устройство всегда будет динамически получать один и тот же IP.
Поехали дальше. В задаче было сказано, что не иметь ограничений должны два хоста, поэтому создаем permit-правила (разрешающие) для его IP, например, 192.168.1.229 по все тем же трем протоколам TCP, UDP и ICMP. Готово.
Теперь нам нужно создать правило для хоста, которому нужно прикрыть всё кроме одного единственного сайта, пусть это будет linkintel.ru (IP узнаем консольной командой nslookup):
Помимо TCP/53 делаем также правило для протокола UDP/53.
В довершение всего блокируем доступ остальным хостам прямо по сетевой маске.
Не пугаемся, просто на картинке правила сделаны для других IP. 192.168.1.33 и 192.168.1.34 имеют неограниченный доступ, а для 192.168.1.35 он порезан.
Важное дополнение. Вообще-то куда удобнее работать с правилами межсетевого экрана через текстовой редактор, используя файл конфигурации роутера. Выцепляем файлик startup-config в меню Настройка -> Файлы (в более свежих версиях прошивки он лежит в Система -> Конфигурация) и открываем его в любом текстовом редакторе, например, в Блокноте. После редактирования сохраняем изменения и закидываем файл обратно на роутер.
В приведенном примере конфига правила сделаны для интерфейса ISP, в Home всё по аналогии.скачать dle 12.0
Как на роутере Zyxel Keenetic заблокировать сайт? Ограничиваем доступ к интернету
Тема блокировки разных сайтов, особенно социальных сетей, очень популярная. В основном все ищут как заблокировать в настройках роутера Вконтакте, Одноклассники, Facebook и т. д. И как ограничить доступ к интернету отдельным пользователям. В этой статье мы будем блокировать сайты на роутерах Zyxel Keenetic. Покажу на примере, как заблокировать любой сайта на Zyxel. Так же, мы ограничим доступ к интернету на Zyxel Keenetic по категориям разных сайтов. Точно такая же статья уже есть для роутеров Tp-Link.
Кто-то блокирует сайты для своих сотрудников, что бы те работали, а не сидели в социальных сетях, кто-то хочет ограничить доступ к отдельным сайтам своим детям, родным, и т. д. Да, закрыть доступ к определенному сайту можно, но есть много способов обойти эту блокировку:) Во многих случаях, такая блокировка просто бессмысленна.
На самом деле, тема немного сложная и запутанная. Я сейчас все проверил, у меня получилось заблокировать контакт, но там очень много разных настроек, и непонятных моментов. Я постараюсь сделать эту инструкцию простой и понятной. В любом случае, если у меня получилось, то и у вас все получится.
Блокируем сайты на Zyxel Keenetic (Вконтакте, Одноклассники и т. д.)
На роутерах Zyxel, уже в прошивке предустановлены два сервиса (если у вас нет, обновите ПО) , с помощью которых можно блокировать сайты и делать интернет более безопасным. Это: SkyDNS и Яндекс DNS. Пользоваться мы будем SkyDNS, так как Яндекс DNS нам не очень подходит. Там есть только возможность фильтровать сайты по категориям: базовый, безопасный, и семейный. Нет возможности указать конкретно, какой сайт блокировать, а какой нет.
SkyDNS это не полностью бесплатный сервис, я так понял, что там какие-то просто платные тарифы, которые можно не покупать. Можно использовать сервис бесплатно, просто в ограниченном режиме. Не будет доступна возможность создавать профили для разных устройств. И еще, никакой рекламы. Zyxel и SkyDNS сотрудничают, и что бы рассказать вам о блокировке, я должен писать о SkyDNS.
Ближе к делу
Заходим в настройки нашего роуетера Zyxel Keenetic. Для этого перейдите в браузере по адресу 192.168.1.1. Если у вас что-то не получается, то смотрите подробную инструкцию по входу в настройки на Zyxel.
В настройках перейдите на вкладку Безопасность и сверху выберите вкладку SkyDNS. Появится окно с предложением войти в свой аккаунт. Если вы еще не зарегистрированы в SkyDNS, то нажмите на ссылку, что бы перейти на сайт и зарегистрироваться.
Сайт откроется в новой вкладке. Настройки роутера не закрывайте, мы к ним сейчас вернемся.
Регистрация в SkyDNS
Сейчас мы быстренько зарегистрируемся, добавим нужные сайты для блокировки, и вернемся к настройкам роутера. Значит на сайте https://www.skydns.ru сверху нажмите на ссылочку Регистрация.
Заполните поле E-mail, и укажите два раза пароль, придумайте какой-то. Тариф я выбрал Премиум, там просто пробный период на 15 дней. Дальше сервис будет работать в бесплатном режиме, за тариф можно не платить. Нажмите на кнопку Регистрация.
Вы будете перенаправлены в личный кабинет. Давайте сразу настроим блокировку по категориям, и определенным адресам сайтов, и уже тогда перейдем к настройке роутера. Что бы потом не путаться.
Настройка блокировки сайтов в SkyDNS
В личном кабинете, вверху перейдите на вкладку Фильтр и выберите категории сайтов, которые вы будете блокировать. Получается, что выбрав категорию например Социальные сети, вы одним махом заблокируете доступ к ВКонтакте, Одноклассникам и т. д. Но, если вы хотите запретить доступ только к определенным сайтам (указать их адреса) , а доступ ко всем остальным сайтам разрешить, то на вкладке Фильтр вы можете выбрать Разрешить все (снять галочки со всех категорий) . А заблокируем мы только нужные нам сайты по их адресам.
Если же вы хотите заблокировать нужные вам категории сайтов, то просто выделите их и нажмите кнопку Сохранить. Это очень полезно, если вы хотите задать настройки доступ к интернету для своих детей. Вы можете запретить им доступ к сайтам для взрослых и т. д.
Если же вы хотите заблокировать только определенные сайты, например vk.com, одноклассники, или любой другой сайт, тогда переходим на кладку Домены (вверху ) и в разделе Черный список, добавляем нужные нам адреса сайтов. Я для примера уже добавил vk.com, и добавляю ok.ru. Все очень просто.
Вы можете добавлять нужные вам адреса сайтов и удалять уже добавленные. Это практически все настройки, которые нужно будете делать на сайте skydns.ru. Здесь вы сможете всегда управлять доступом к интернету для устройств, которые подключены к вашему роутеру Zyxel Keenetic.
Значит так, нужные сайты мы заблокировали, сайт SkyDNS можете пока не закрывать. А еще лучше, добавьте его в закладки в своем браузере.
Zyxel Keenetic: настройка параметров блокировки на роутере
Переходим к настройкам на роутере. Открываем страницу с настройкам, и снова переходим на кладку Безопасность — SkyDNS. Появится окно, в котором укажите E-mail и пароль, под которыми вы зарегистрировались в SkyDNS.
Дальше установите галочку возле пункта Включить, и нажмите на кнопку Применить. Настройки будут сохранены.
Все, настройка блокировки сайтов уже будет работать. Но, эти настройки будут работать для всех устройств, которые вы подключите к своему маршрутизатору . То есть, я у себя заблокировал социальную сеть vk.com. И на всех устройствах, которые подключены через этот роутер Zyxel Keenetic, сайт vk.com будет недоступен. Будет появляться вот такая ошибка:
И еще один важный момент, приложение ВКонтакте у меня на телефоне так же не работало. Это важно.
Если пользоваться сервисом SkyDNS на бесплатной основе, то на этом настройки закончены. Единственный большой минус в том, что нельзя создавать профили (в бесплатном тарифе) , что бы для разных устройств задавать разные настройки доступа.
Если вам действительно нужно, и вы решите покупать платный аккаунт, то я сейчас покажу, как создавать профили, и как применять эти профили к разным устройствам. Что бы на одном устройстве, например, был доступ к социальным сетям, а на другом он был ограничен.
Настройка профилей и добавление устройств в домашнюю сеть (платный тариф SkyDNS)
Хорошо подумайте, нужно ли это вам. Я бы лично не стал тратить деньги. По сути, мы платим за то, что бы была возможность настроить ограничение доступа к разным сайтам для разных устройств (компьютеров, смартфонов, планшетов и т. д.) .
Сначала, на сайте skydns.ru, в своем профиле перейдите на вкладку Настройки — Профили. Задайте имя профиля, и нажмите на кнопку Добавить. Вы можете создавать и удалять профили.
Дальше, когда вы будете задавать настройки блокировки на кладках Фильтр, или Домены, то вам слева нужно будет выбрать профиль , для которого вы задаете настройки.
Задайте параметры фильтрации для каждого профиля.
Возвращаемся к настройкам на роутере Zyxel: регистрируем устройства в домашней сети
В настройках своего Zyxel Keenetic перейдите на кладку Домашняя сеть. Устройства, должны быть подключены к роутеру. Нажмите в списке на устройство, которое вы хотите прикрепить к домашней сети (что бы иметь возможность задать ему профиль).
Откроется новое окно, в котором установите галочку возле пункта Постоянный IP-адрес, и нажмите на кнопку Зарегистрировать. Повторите такую процедуру со всеми устройствами, для которых хотите задать отдельный профиль фильтрации.
Зарегистрированное устройство будет выделено. Вы можете отменить регистрацию.
Задаем профили для разных устройств
Осталось только присвоить каждому устройству отдельный профиль, с настройками блокировки доступа к интернету. Для этого, снова перейдите на вкладку Безопасность — SkyDNS. Там вы уже увидите зарегистрированные устройства (если список не появится сразу, просто немного подождите, ничего не нажимайте) . Напротив каждого устройства можно будет выбрать профиль с определенными настройками.
Не забудьте сохранить настройки нажав на кнопку Применить.
Послесловие
Функция блокировки сайтов на роутере конечно же очень полезная и необходимая, но жаль, что в компании Zyxel не сделали возможность настраивать ограничение доступа стандартными средствами, без сторонних сервисов. Да, пакетная блокировка сайтов, штука полезная. Тот же сервис Яндекс DNS. Но там нет возможности задать определенные сайты, к которым нужно закрыть доступ.
В SkyDNS хоть и есть такая возможность, но что бы пользоваться, нужно уже платить. Можно использовать бесплатный тариф, но там настройки применяются ко всем подключенным устройствам, что не очень удобно. Нужно иметь возможность настраивать ограничение доступа к сайтам для каждого устройства индивидуально, а это уже платные функции.