Межсетевой экран
Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран.
В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана. Пользовательскими настройками можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети.
NOTE: Важно! По умолчанию домашняя сеть защищена от атак извне и доступ к управлению интернет-центром (к веб-конфигуратору) из Интернета заблокирован.
Упрощенно, сетевой экран можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения.
Правила сетевого экрана выполняются в порядке их указания по списку: первое верхнее и далее вниз. Для любого правила должен быть определён интерфейс (подключение), на котором они будут выполняться.
В каждом из правил должны быть указаны:
— сети источника трафика и его назначения (IP-адреса хостов или подсетей);
— протокол, для которого будет действовать настройка (TCP, UDP, ICMP и др.);
— для протоколов TCP и UDP обязательно должен быть указан номер порта;
— действие, которое нужно выполнить над пакетом: Запретить или Разрешить.
NOTE: Важно! В интернет-центрах Keenetic правила сетевого экрана обрабатываются после правил трансляции сетевых адресов (NAT). Поэтому при создании правил межсетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов.
Веб-конфигуратор интернет-центра предлагает наиболее удобный способ управления правилами межсетевого экрана.
NOTE: Важно! Созданные через веб-конфигуратор правила применяются только к входящему трафику публичного (WAN) или локального (LAN) интерфейса.
Через интерфейс командной строки (CLI) интернет-центра возможно создавать правила для любого направления.
Настройка правил сетевого экрана производится на странице «Межсетевой экран».
Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик, и нажмите «Добавить правило». Правила применяются в том порядке, в каком они расположены в списке. Чтобы изменить порядок правил, перетащите строки в таблице.
NOTE: Важно! Правила следует создавать для интерфейса, на котором фильтруемый трафик является входящим (инициирующим сессию).
В появившемся окне «Правило межсетевого экрана» выберите действие, которое нужно выполнить для входящих пакетов, и укажите условия, при которых это действие должно быть выполнено. В нашем примере для интерфейса «Домашняя сеть» создадим запрещающее правило, в котором укажем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ). В результате этого правила будет заблокирован доступ в Интернет только для одного хоста локальной сети с IP-адресом 192.168.1.35.
В поле «Действие» выберите действие — «Разрешить» прохождение трафика или «Запретить», и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться.
В поле «Расписание работы» можно добавить расписание, по которому будет работать данное правило.
NOTE: Важно! При создании отсеивающих фильтров, разрешающие правила должны располагаться выше запрещающих.
В нашем примере было создано следующее запрещающее правило для интерфейса «Домашняя сеть»:
TIP: Совет: Рекомендуем ознакомиться с инструкциями:
С версии KeeneticOS 2.14.A.2.0-2 в веб-конфигураторе реализовано групповое копирование, перемещение и удаление правил межсетевого экрана: «Копирование, перемещение и удаление нескольких правил межсетевого экрана»
Online помощник
Cети плюс
Сеть и интернет
Цифровое ТВ
Видеонаблюдение
Новичкам
Опытным пользователям
Безопасность
Использование межсетевого экрана в маршрутизаторе Zyxel Keenetic
Предположим, что существует задача организовать разные права доступа в Интернет через маршрутизатор Keenetic (с микропрограммой V2), например:
- Двум хостам предоставить доступ без ограничений;
- Одному хосту предоставить доступ только к удаленному серверу для подключения;
- Всем остальным хостам запретить выход в Интернет.
Эту задачу можно решить с помощью правил межсетевого экрана для локального интерфейса Home network . Настройка межсетевого экрана (Firewall) производится в меню Безопасность > Межсетевой экран .
Внимание! Логика работы межсетевого экрана такова, что правила выполняются по порядку сверху вниз.
Таким образом, для одних хостов выше в списке должны находиться разрешающие правила. Также рекомендуется в конце списка указывать более общие правила (т.е. работающие для наибольшего числа хостов).
В поле Правила для интерфейса укажите имя интерфейса домашней сети Home network (Wired and wireless hosts) и затем создайте правила межсетевого экрана. Нажмите кнопку Добавить правило для создания нового правила.
Должен получиться следующий порядок правил для интерфейса Home network:
1. Для хостов, у которых будет доступ без ограничений, например 192.168.1.33 и 192.168.1.34.
Для второго хоста (192.168.1.34) нужно настроить аналогичные правила. В итоге получим:
2. Для хоста, которому нужно предоставить доступ к одному ресурсу в Интернете (например, к сайту zyxel.ru, имеющему IP-адрес 95.211.169.65, адрес хоста 192.168.1.35).
3. Чтобы хост 192.168.1.35 мог обращаться к DNS-серверам, нужно будет разрешить данный трафик .
4. Для всех остальных хостов локальной сети нужно заблокировать доступ.
В итоге должен получиться следующий набор правил в указанном порядке:
После этого попробуем с разных хостов обратиться к внешним ресурсам.
- С хоста, имеющего IP-адрес 192.168.1.33:
- C хоста, имеющего IP-адрес 192.168.1.35:
- С хоста, имеющего IP-адрес 192.168.1.36:
Редактирование правил межсетевого экрана через файл конфигурации устройства.
Удобнее работать с правилами межсетевого экрана (создавать подобные, менять местами, править и т.д.) через текстовый редактор, используя файл конфигурации устройства. Для этого в меню Настройка > Файлы выполните сохранение файла startup-config и затем откройте его в текстовом редакторе (например, Блокнот). Вы можете создавать/изменять/удалять любые правила, после чего нужно обязательно сохранить изменения в файле и загрузить затем скорректированный файл конфигурации обратно на устройство.
Роутеры ZyXel. Блокировка сайтов через правила Firewall
Итак, представим, что у нас в руках какой-нибудь ZyXel Keenetic (которые компания гордо называет интернет-центрами) и нам нужно разграничить доступ в интернет для различных хостов. Сначала разберемся с построением правил в целом, а после разберем задачку, где потребуется паре хостов предоставить неограниченный доступ, одному — только доступ к удаленному серваку, а всем остальным наглухо закрыть доступ в интернет. Всё это делается через пункт меню Безопасность -> Межсетевой экран.
Поставленные задачи можно решить с помощью правил межсетевого экрана для интерфейса Home Network. И всю эту настройку мы производим в указанном выше пункте меню.
Теперь простая задачка. Мы хотим, чтобы для всех хостов был закрыт доступ в соцсеть вконтакте. Для начала нужно узнать, какой или какие IP-адреса у этого сайта. Тут нам поможет консольная команда Windows — nslookup.
Нам прилетает ответ, что наш DNS-сервер резолвит данный адрес в такие-то IP-адреса. Их мы и прикроем.
Такое же правило сделаем для протокола UDP и ICMP. Всё, теперь доступ к втентаклю ограничен.
Это был самый простой вариант использования Firewall-правил, теперь перейдем к более творческой задаче, о которой уже говорилось в начале статьи.
Примечание. Принцип работы правил межсетевого экрана таков, что они выполняются по порядку сверху вниз, таким образом, разрешающие правила должны находится вверху списка, а общие правила для большого количества хостов следует располагать внизу списка.
Для реализации нашей задачи мы будем создавать правила на интерфейса Home network (Wired and wireless hosts), поэтому выберем его в соответствующем меню на вкладке межсетевого экрана.
И, как водится, тоже самое повторим для UDP и ICMP протокола. Теперь хост, имеющий IP 192.168.1.228 будет иметь доступ к любым узлам сети без каких-либо ограничений.
Важно! В качестве оффтопа объясню как на ZyXel настроить выдачу одного и того же IP конкретному хосту, т.е. как запилить привязку по MAC-адресу. Делается это в разделе меню Домашняя сеть во вкладке Устройства:
Теперь при подключении к роутеру данное устройство всегда будет динамически получать один и тот же IP.
Поехали дальше. В задаче было сказано, что не иметь ограничений должны два хоста, поэтому создаем permit-правила (разрешающие) для его IP, например, 192.168.1.229 по все тем же трем протоколам TCP, UDP и ICMP. Готово.
Теперь нам нужно создать правило для хоста, которому нужно прикрыть всё кроме одного единственного сайта, пусть это будет linkintel.ru (IP узнаем консольной командой nslookup):
Помимо TCP/53 делаем также правило для протокола UDP/53.
В довершение всего блокируем доступ остальным хостам прямо по сетевой маске.
Не пугаемся, просто на картинке правила сделаны для других IP. 192.168.1.33 и 192.168.1.34 имеют неограниченный доступ, а для 192.168.1.35 он порезан.
Важное дополнение. Вообще-то куда удобнее работать с правилами межсетевого экрана через текстовой редактор, используя файл конфигурации роутера. Выцепляем файлик startup-config в меню Настройка -> Файлы (в более свежих версиях прошивки он лежит в Система -> Конфигурация) и открываем его в любом текстовом редакторе, например, в Блокноте. После редактирования сохраняем изменения и закидываем файл обратно на роутер.
В приведенном примере конфига правила сделаны для интерфейса ISP, в Home всё по аналогии.скачать dle 12.0