В каком порядке выполняются правила Firewall?

Правила межсетевого экрана Firewall обрабатываются по порядку их отображения в списке (т.е. в порядке создания).
Например, требуется разрешить доступ в сеть по всем портам только для одного компьютера с IP-адресом 192.168.1.11.
Сначала нужно создать список исключений (разрешающее правило), а затем - правило, запрещающее доступ всем.

Правило создается для интерфейса-источника (в нашем примере это локальная сеть Home).

Ниже представлены примеры настройки правил Firewall через режим командной строки интернет-центра.

1. Разрешающее правило (permit) для доступа одного компьютера с IP-адресом 192.168.1.11:

permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0
permit udp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0


2. Запрещающее правило (deny) для всех компьютеров подсети 192.168.1.0/24:

deny tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0
deny udp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0


Информацию о маске подсети можно найти в статье: «Пример расчета количества хостов и подсетей на основе IP-адреса и маски подсети»

TIP: Примечание: Клиенты, подключенные к гостевой сети Wi-Fi (если она активна), сохранят возможность выходить в Интернет. Если необходимо запретить доступ всем, потребуется создать аналогичное правило для сети GuestWiFi.

Если нужно разрешить доступ только по конкретному приложению (например, к веб-страницам), в разрешающем правиле указываем порт назначения (в нашем примере порт 80/HTTP):

permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0 port eq 80


TIP: Примечание: Если правил межсетевого экрана много или нужно изменить их порядок, удобнее всего это сделать путем редактирования файла конфигурации в любом текстовом редакторе. Но редактировать файл конфигурации следует крайне осторожно, т.к. это может привести к невозможности управления устройством, потере работоспособности отдельных функций, некорректному отображению настроек в веб-интерфейсе.

Подробную информацию обо всех командах интернет-центра можно найти в справочнике командного интерфейса интернет-центра. Его можно найти в разделе Центр загрузки, выбрав нужное устройство.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 3