Использование межсетевого экрана для предоставления разных прав доступа в Интернет

Существует задача организовать разные права доступа в Интернет через интернет-центр. В частности: двум хостам предоставить доступ без ограничений; одному хосту предоставить доступ только к удаленному серверу для подключения; всем остальным хостам запретить выход в Интернет. Каким образом нужно настроить межсетевой экран (Firewall)?


Эту задачу можно решить с помощью правил межсетевого экрана для локального интерфейса Home network. Настройка межсетевого экрана (Firewall) производится в меню Безопасность > Межсетевой экран.

Подробное описание работы межсетевого экрана представлено в статье: «Описание работы с межсетевым экраном»
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана» 

Внимание! Логика работы межсетевого экрана такова, что правила выполняются по порядку сверху вниз.
Таким образом, для одних хостов выше в списке должны находиться разрешающие правила. Также рекомендуется в конце списка указывать более общие правила (т.е. работающие для наибольшего числа хостов).

В поле Правила для интерфейса укажите имя интерфейса домашней сети Home network (Wired and wireless hosts) и затем создайте правила межсетевого экрана. Нажмите кнопку Добавить правило для создания нового правила.

Должен получиться следующий порядок правил для интерфейса Home network:

1. Для хостов, у которых будет доступ без ограничений.

Для второго хоста (например, 192.168.1.34) нужно настроить аналогичные правила. В итоге получим:

2. Для хоста, которому нужно предоставить доступ к одному ресурсу в Интернете (например, к веб-сайту, имеющему IP-адрес 95.211.169.65).

3. Чтобы хост 192.168.1.35 мог обращаться к DNS-серверам, нужно будет разрешить данный трафик.

4. Для всех остальных хостов локальной сети нужно заблокировать доступ.

В итоге должен получиться следующий набор правил в указанном порядке:

После этого попробуем с разных хостов обратиться к внешним ресурсам.

  • С хоста, имеющего IP-адрес 192.168.1.33:

  • C хоста, имеющего IP-адрес 192.168.1.35:

  • С хоста, имеющего IP-адрес 192.168.1.36:


Примечание

Редактирование правил межсетевого экрана через файл конфигурации устройства.

Удобнее работать с правилами межсетевого экрана (создавать подобные, менять местами, править и т.д.) через текстовый редактор, используя файл конфигурации устройства. Для этого в меню Настройка > Файлы выполните сохранение файла startup-config и затем откройте его в текстовом редакторе (например, Блокнот). Вы можете создавать/изменять/удалять любые правила, после чего нужно обязательно сохранить изменения в файле и загрузить затем скорректированный файл конфигурации обратно на устройство.

 

KB-3229

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 22 из 25