Настройка интернет-центра для блокировки доступа домашней сети к определенному веб-ресурсу (для версий NDMS 2.11 и более ранних)
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «Как заблокировать доступ к определенному сайту?».
Необходимо отключить доступ для всей домашней сети на определенный веб-сайт. Как в интернет-центре настроить блокировку доступа для всей домашней сети к определенному веб-ресурсу?
В данной статье мы рассмотрим пример блокировки доступа устройств локальной сети к определенному веб-ресурсу (сайту) Интернета.
Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана»
Один из простых способов заблокировать доступ к веб-сайту – воспользоваться сервисом SkyDNS (дополнительную информацию можно найти в статье: «Защита домашней сети и фильтрация контента с помощью сервиса SkyDNS»).
Итак, заблокируем доступ устройствам локальной сети к определенному веб-сайту средствами интернет-центра серии Keenetic (с микропрограммой NDMS V2).
В настройках межсетевого экрана при создании правил можно использовать только IP-адреса (нельзя указать символьное имя домена или сайта).
Обращаем ваше внимание, что IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам.
Для того чтобы узнать IP-адрес какого-то веб-сайта, можно воспользоваться утилитой nslookup из состава операционной системы Windows. Зайдите в командную строку Windows (Пуск > Выполнить > cmd) и выполните команду nslookup xxx, где xxx — это имя веб-сайта.
Например:
C:\Users\007>nslookup odnoklassniki.ru
Non-authoritative answer:
Name: odnoklassniki.ru
Address: 217.20.147.94
Итак, зная IP-адрес веб-сайта, можно приступить к настройке интернет-центра.
Внимание! Правила межсетевого экрана, добавляемые в веб-интерфейсе устройства, действуют для входящих в Keenetic сетевых пакетов. Поэтому созданное в приведённом примере правило будет блокировать пакеты с IP-адресом назначения 217.20.147.94.
Правило с IP-адресом блокируемой сети в поле IP-адрес назначения нужно добавить на интерфейс домашний сети Home network.
В этом случае сетевой пакет, предназначенный блокируемой сети, будет отброшен на входе в LAN-интерфейс интернет-центра Keenetic.
Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, «упаковываются» в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443.
Примечание
В дополнении к указанному выше примеру рассмотрим более частный случай — пример создания фильтра для ограничения доступа к сайту при условии резервирования связи. Это может быть удобно в случае высокой стоимости трафика в резервном канале, по причине более низкой пропускной способности, либо в силу иных обстоятельств.
При создании в веб-конфигураторе запрещающего правила межсетевого экрана для подключенного к провайдеру интерфейса с IP-адресом источника, равным IP-адресу сайта, оно не приведет к блокированию доступа к этому сайту.
Так происходит потому, что правила межсетевого экрана (Firewall) в интернет-центре обрабатываются не по-пакетно, а сессиями. Таким образом, созданное правило могло бы заблокировать передачу трафика от сайта к пользователю, но поскольку в большинстве сценариев пользователь обращается к ресурсу сайта первым, инициируя этим создание сессии, ответ от сайта будет проходить уже в рамках этой сессии. Правило входящего фильтра не сможет быть задействовано, и, следовательно, не приведет к блокированию доступа.
Ограничение привязки правил фильтрации к входящему трафику отсутствует при управлении устройством через интерфейс командной строки (CLI).
Пусть требуется заблокировать доступ к сайту с адресом 217.20.147.94 для хостов из Домашней сети, когда доступ в Интернет осуществляется через USB-модем на интерфейсе UsbModem0.
Для этого, в командной строке интернет-центра следует выполнить команды:
создание списка контроля доступа
(config)>access-list _WEBADMIN_UsbModem0
включение в созданный список правила фильтрации пакетов от хостов в Домашней сети 192.168.1.0/24 к адресу 217.20.147.94
(config-acl)>deny tcp 192.168.1.0 255.255.255.0 217.20.147.94 255.255.255.255
(config-acl)>exit
включение созданного списка на интерфейсе модема в исходящее направление
(config)>interface UsbModem0
(config-if)>ip access-group _WEBADMIN_UsbModem0 out
(config-if)>exit
(config)>system config-save
Информацию о командах по настройке правил Firewall можно найти в справочнике командного интерфейса (CLI) интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.
Пользователи, считающие этот материал полезным: 17 из 23
Как на роутере Zyxel Keenetic заблокировать сайт? Ограничиваем доступ к интернету
Тема блокировки разных сайтов, особенно социальных сетей, очень популярная. В основном все ищут как заблокировать в настройках роутера Вконтакте, Одноклассники, Facebook и т. д. И как ограничить доступ к интернету отдельным пользователям. В этой статье мы будем блокировать сайты на роутерах Zyxel Keenetic. Покажу на примере, как заблокировать любой сайта на Zyxel. Так же, мы ограничим доступ к интернету на Zyxel Keenetic по категориям разных сайтов. Точно такая же статья уже есть для роутеров Tp-Link.
Кто-то блокирует сайты для своих сотрудников, что бы те работали, а не сидели в социальных сетях, кто-то хочет ограничить доступ к отдельным сайтам своим детям, родным, и т. д. Да, закрыть доступ к определенному сайту можно, но есть много способов обойти эту блокировку:) Во многих случаях, такая блокировка просто бессмысленна.
На самом деле, тема немного сложная и запутанная. Я сейчас все проверил, у меня получилось заблокировать контакт, но там очень много разных настроек, и непонятных моментов. Я постараюсь сделать эту инструкцию простой и понятной. В любом случае, если у меня получилось, то и у вас все получится.
Блокируем сайты на Zyxel Keenetic (Вконтакте, Одноклассники и т. д.)
На роутерах Zyxel, уже в прошивке предустановлены два сервиса (если у вас нет, обновите ПО) , с помощью которых можно блокировать сайты и делать интернет более безопасным. Это: SkyDNS и Яндекс DNS. Пользоваться мы будем SkyDNS, так как Яндекс DNS нам не очень подходит. Там есть только возможность фильтровать сайты по категориям: базовый, безопасный, и семейный. Нет возможности указать конкретно, какой сайт блокировать, а какой нет.
SkyDNS это не полностью бесплатный сервис, я так понял, что там какие-то просто платные тарифы, которые можно не покупать. Можно использовать сервис бесплатно, просто в ограниченном режиме. Не будет доступна возможность создавать профили для разных устройств. И еще, никакой рекламы. Zyxel и SkyDNS сотрудничают, и что бы рассказать вам о блокировке, я должен писать о SkyDNS.
Ближе к делу
Заходим в настройки нашего роуетера Zyxel Keenetic. Для этого перейдите в браузере по адресу 192.168.1.1. Если у вас что-то не получается, то смотрите подробную инструкцию по входу в настройки на Zyxel.
В настройках перейдите на вкладку Безопасность и сверху выберите вкладку SkyDNS. Появится окно с предложением войти в свой аккаунт. Если вы еще не зарегистрированы в SkyDNS, то нажмите на ссылку, что бы перейти на сайт и зарегистрироваться.
Сайт откроется в новой вкладке. Настройки роутера не закрывайте, мы к ним сейчас вернемся.
Регистрация в SkyDNS
Сейчас мы быстренько зарегистрируемся, добавим нужные сайты для блокировки, и вернемся к настройкам роутера. Значит на сайте https://www.skydns.ru сверху нажмите на ссылочку Регистрация.
Заполните поле E-mail, и укажите два раза пароль, придумайте какой-то. Тариф я выбрал Премиум, там просто пробный период на 15 дней. Дальше сервис будет работать в бесплатном режиме, за тариф можно не платить. Нажмите на кнопку Регистрация.
Вы будете перенаправлены в личный кабинет. Давайте сразу настроим блокировку по категориям, и определенным адресам сайтов, и уже тогда перейдем к настройке роутера. Что бы потом не путаться.
Настройка блокировки сайтов в SkyDNS
В личном кабинете, вверху перейдите на вкладку Фильтр и выберите категории сайтов, которые вы будете блокировать. Получается, что выбрав категорию например Социальные сети, вы одним махом заблокируете доступ к ВКонтакте, Одноклассникам и т. д. Но, если вы хотите запретить доступ только к определенным сайтам (указать их адреса) , а доступ ко всем остальным сайтам разрешить, то на вкладке Фильтр вы можете выбрать Разрешить все (снять галочки со всех категорий) . А заблокируем мы только нужные нам сайты по их адресам.
Если же вы хотите заблокировать нужные вам категории сайтов, то просто выделите их и нажмите кнопку Сохранить. Это очень полезно, если вы хотите задать настройки доступ к интернету для своих детей. Вы можете запретить им доступ к сайтам для взрослых и т. д.
Если же вы хотите заблокировать только определенные сайты, например vk.com, одноклассники, или любой другой сайт, тогда переходим на кладку Домены (вверху ) и в разделе Черный список, добавляем нужные нам адреса сайтов. Я для примера уже добавил vk.com, и добавляю ok.ru. Все очень просто.
Вы можете добавлять нужные вам адреса сайтов и удалять уже добавленные. Это практически все настройки, которые нужно будете делать на сайте skydns.ru. Здесь вы сможете всегда управлять доступом к интернету для устройств, которые подключены к вашему роутеру Zyxel Keenetic.
Значит так, нужные сайты мы заблокировали, сайт SkyDNS можете пока не закрывать. А еще лучше, добавьте его в закладки в своем браузере.
Zyxel Keenetic: настройка параметров блокировки на роутере
Переходим к настройкам на роутере. Открываем страницу с настройкам, и снова переходим на кладку Безопасность — SkyDNS. Появится окно, в котором укажите E-mail и пароль, под которыми вы зарегистрировались в SkyDNS.
Дальше установите галочку возле пункта Включить, и нажмите на кнопку Применить. Настройки будут сохранены.
Все, настройка блокировки сайтов уже будет работать. Но, эти настройки будут работать для всех устройств, которые вы подключите к своему маршрутизатору . То есть, я у себя заблокировал социальную сеть vk.com. И на всех устройствах, которые подключены через этот роутер Zyxel Keenetic, сайт vk.com будет недоступен. Будет появляться вот такая ошибка:
И еще один важный момент, приложение ВКонтакте у меня на телефоне так же не работало. Это важно.
Если пользоваться сервисом SkyDNS на бесплатной основе, то на этом настройки закончены. Единственный большой минус в том, что нельзя создавать профили (в бесплатном тарифе) , что бы для разных устройств задавать разные настройки доступа.
Если вам действительно нужно, и вы решите покупать платный аккаунт, то я сейчас покажу, как создавать профили, и как применять эти профили к разным устройствам. Что бы на одном устройстве, например, был доступ к социальным сетям, а на другом он был ограничен.
Настройка профилей и добавление устройств в домашнюю сеть (платный тариф SkyDNS)
Хорошо подумайте, нужно ли это вам. Я бы лично не стал тратить деньги. По сути, мы платим за то, что бы была возможность настроить ограничение доступа к разным сайтам для разных устройств (компьютеров, смартфонов, планшетов и т. д.) .
Сначала, на сайте skydns.ru, в своем профиле перейдите на вкладку Настройки — Профили. Задайте имя профиля, и нажмите на кнопку Добавить. Вы можете создавать и удалять профили.
Дальше, когда вы будете задавать настройки блокировки на кладках Фильтр, или Домены, то вам слева нужно будет выбрать профиль , для которого вы задаете настройки.
Задайте параметры фильтрации для каждого профиля.
Возвращаемся к настройкам на роутере Zyxel: регистрируем устройства в домашней сети
В настройках своего Zyxel Keenetic перейдите на кладку Домашняя сеть. Устройства, должны быть подключены к роутеру. Нажмите в списке на устройство, которое вы хотите прикрепить к домашней сети (что бы иметь возможность задать ему профиль).
Откроется новое окно, в котором установите галочку возле пункта Постоянный IP-адрес, и нажмите на кнопку Зарегистрировать. Повторите такую процедуру со всеми устройствами, для которых хотите задать отдельный профиль фильтрации.
Зарегистрированное устройство будет выделено. Вы можете отменить регистрацию.
Задаем профили для разных устройств
Осталось только присвоить каждому устройству отдельный профиль, с настройками блокировки доступа к интернету. Для этого, снова перейдите на вкладку Безопасность — SkyDNS. Там вы уже увидите зарегистрированные устройства (если список не появится сразу, просто немного подождите, ничего не нажимайте) . Напротив каждого устройства можно будет выбрать профиль с определенными настройками.
Не забудьте сохранить настройки нажав на кнопку Применить.
Послесловие
Функция блокировки сайтов на роутере конечно же очень полезная и необходимая, но жаль, что в компании Zyxel не сделали возможность настраивать ограничение доступа стандартными средствами, без сторонних сервисов. Да, пакетная блокировка сайтов, штука полезная. Тот же сервис Яндекс DNS. Но там нет возможности задать определенные сайты, к которым нужно закрыть доступ.
В SkyDNS хоть и есть такая возможность, но что бы пользоваться, нужно уже платить. Можно использовать бесплатный тариф, но там настройки применяются ко всем подключенным устройствам, что не очень удобно. Нужно иметь возможность настраивать ограничение доступа к сайтам для каждого устройства индивидуально, а это уже платные функции.