Как заблокировать доступ к собственным ресурсам интернет-центра (web, cli, cifs, ftp, transmission) из Гостевой беспроводной сети?

При подключении к гостевой беспроводной сети интернет-центра клиенты имеют доступ к сервисам – FTP, CIFS, Transmission, которые работают на устройстве. Каким образом настроить интернет-центр, чтобы заблокировать доступ к указанным ресурсам?

Чтобы клиенты из гостевой беспроводной сети не могли видеть хосты, находящиеся в основной локальной сети (и других локальных сетей, созданных на интернет-центре), нужно в режиме командной строки (CLI) устройства выполнить команду:
(config)> isolate-private     /обратная команда будет no isolate-private/
По умолчанию данная функция включена и связь между локальными подсетями интернет-центра запрещена.
 
Для интернет-центров с микропрограммой NDMS версии 2.05 и ниже:
Клиенты гостевой сети будут иметь доступ к ресурсам роутера по IP-адресам его интерфейсов. Чтобы запретить доступ к ресурсам интернет-центра со стороны гостевых клиентов (через адреса интерфейсов GuestWifi 10.1.30.1 и Home network 192.168.1.1 по умолчанию), необходимо в настройках межсетевого экрана создать запрещающие (deny) правила для интерфейса GuestWiFi.
 
Обращаем ваше внимание, что в межсетевом экране необходимо добавлять разрешающие (permit) правила для работы DNS (tcp/udp порт 53), иначе у вас не будет доступа в Интернет по доменным именам.
В нашем примере (на копии экрана) созданы такие два разрешающих правила. Самое главное, чтобы разрешающие правила располагались выше запрещающих!
 
Если требуется разрешить доступ к некоторым приложениям (сервисам) интернет-центра из Гостевой сети, нужно будет создать разрешающие правила (расположить их выше запрещающих) для IP-адреса назначения 10.1.30.1 (по умолчанию), с соответствующим номером порта, на котором работает нужный сервис:
web — tcp 80
cli — tcp 23
cifs — udp 137, udp 138, tcp 139, tcp 445
ftp — tcp 20-21
transmission — tcp 8090 (по умолчанию)
 
Для интернет-центров с микропрограммой NDMS 2.06 и выше:
Начиная с микропрограммы 2.06 появилась функция, которая по умолчанию блокирует доступ к ресурсам интернет-центра (FTP-сервер, доступ к USB-накопителю, Transmission и др.) со стороны Гостевой сети.
Управление данной функцией находится в меню Домашняя сеть > Сегменты > Guest.
 
При необходимости можно разрешить доступ к интернет-центру (к его ресурсам), установив соотвествующую галочку и нажав кнопку Применить.

KB-3912

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 15 из 17