В каком порядке выполняются правила межсетевого экрана Firewall?
Правила межсетевого экрана Firewall обрабатываются по порядку их отображения в списке (т.е. в порядке создания).
Например, требуется разрешить доступ в сеть по всем портам только для одного компьютера с IP-адресом 192.168.1.11.
Сначала нужно создать список исключений (разрешающее правило), а затем - правило, запрещающее доступ всем.
Правило создается для интерфейса-источника (в нашем примере это локальная сеть Home).
Ниже представлены примеры настройки правил Firewall через режим командной строки интернет-центра.
1. Разрешающее правило (permit) для доступа одного компьютера с IP-адресом 192.168.1.11:
permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0 permit udp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0 |
2. Запрещающее правило (deny) для всех компьютеров подсети 192.168.1.0/24:
deny tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 deny udp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 |
Примечание: Клиенты, подключенные к гостевой сети Wi-Fi (если она активна), сохранят возможность выходить в Интернет. Если необходимо запретить доступ всем, потребуется создать аналогичное правило для сети GuestWiFi.
Информацию о маске подсети можно найти в статье: «Пример расчета количества хостов и подсетей на основе IP-адреса и маски подсети»
Если нужно разрешить доступ только по конкретному приложению (например, к веб-страницам), в разрешающем правиле указываем порт назначения (в нашем примере порт 80/HTTP):
permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0 port eq 80 |
Дополнительную информацию о том, как в интернет-центрах серии Keenetic с микропрограммой NDMS V2 заблокировать доступ в Интернет по порту 80(HTTP) всем пользователям, кроме одного, с указанным IP-адресом, вы можете найти в статье: «Как в интернет-центре заблокировать доступ в Интернет по порту 80 (HTTP) всем пользователям, кроме одного, с указанным IP-адресом?»
Примечание: Если правил межсетевого экрана много или нужно изменить их порядок, удобнее всего это сделать путем редактирования файла конфигурации в любом текстовом редакторе. Но редактировать файл конфигурации следует крайне осторожно, т.к. это может привести к невозможности управления устройством, потере работоспособности отдельных функций, некорректному отображению настроек в веб-интерфейсе.
Подробную информацию обо всех командах интернет-центра можно найти в справочнике командного интерфейса интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.
KB-2796
Комментарии
Войдите в службу, чтобы оставить комментарий.