Настройка интернет-центра для блокировки доступа домашней сети к определенному веб-ресурсу (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Как заблокировать доступ к определенному сайту?".

Необходимо отключить доступ для всей домашней сети на определенный веб-сайт. Как в интернет-центре настроить блокировку доступа для всей домашней сети к определенному веб-ресурсу?


В данной статье мы рассмотрим пример блокировки доступа устройств локальной сети к определенному веб-ресурсу (сайту) Интернета.

Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»

Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана»
Один из простых способов заблокировать доступ к веб-сайту – воспользоваться сервисом SkyDNS (дополнительную информацию можно найти в статье: «Защита домашней сети и фильтрация контента с помощью сервиса SkyDNS»).

Итак, заблокируем доступ устройствам локальной сети к определенному веб-сайту средствами интернет-центра серии Keenetic (с микропрограммой NDMS V2).
В настройках межсетевого экрана при создании правил можно использовать только IP-адреса (нельзя указать символьное имя домена или сайта).

Обращаем ваше внимание, что IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам.

Для того чтобы узнать IP-адрес какого-то веб-сайта, можно воспользоваться утилитой nslookup из состава операционной системы Windows. Зайдите в командную строку Windows (Пуск > Выполнить > cmd) и выполните команду nslookup xxx, где xxx - это имя веб-сайта.
Например:

C:\Users\007>nslookup odnoklassniki.ru

Non-authoritative answer:
Name:  odnoklassniki.ru
Address: 217.20.147.94 

Итак, зная IP-адрес веб-сайта, можно приступить к настройке интернет-центра.

Внимание! Правила межсетевого экрана, добавляемые в веб-интерфейсе устройства, действуют для входящих в Keenetic сетевых пакетов. Поэтому созданное в приведённом примере правило будет блокировать пакеты с IP-адресом назначения 217.20.147.94.

Правило с IP-адресом блокируемой сети в поле IP-адрес назначения нужно добавить на интерфейс домашний сети Home network.

В этом случае сетевой пакет, предназначенный блокируемой сети, будет отброшен на входе в LAN-интерфейс интернет-центра Keenetic.

Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443.

Примечание

В дополнении к указанному выше примеру рассмотрим более частный случай — пример создания фильтра для ограничения доступа к сайту при условии резервирования связи. Это может быть удобно в случае высокой стоимости трафика в резервном канале, по причине более низкой пропускной способности, либо в силу иных обстоятельств.

При создании в веб-конфигураторе запрещающего правила межсетевого экрана для подключенного к провайдеру интерфейса с IP-адресом источника, равным IP-адресу сайта, оно не приведет к блокированию доступа к этому сайту.

Так происходит потому, что правила межсетевого экрана (Firewall) в интернет-центре обрабатываются не по-пакетно, а сессиями. Таким образом, созданное правило могло бы заблокировать передачу трафика от сайта к пользователю, но поскольку в большинстве сценариев пользователь обращается к ресурсу сайта первым, инициируя этим создание сессии, ответ от сайта будет проходить уже в рамках этой сессии. Правило входящего фильтра не сможет быть задействовано, и, следовательно, не приведет к блокированию доступа.

Ограничение привязки правил фильтрации к входящему трафику отсутствует при управлении устройством через интерфейс командной строки (CLI).

Пусть требуется заблокировать доступ к сайту с адресом 217.20.147.94 для хостов из Домашней сети, когда доступ в Интернет осуществляется через USB-модем на интерфейсе UsbModem0.

Для этого, в командной строке интернет-центра следует выполнить команды:

создание списка контроля доступа

(config)>access-list _WEBADMIN_UsbModem0

включение в созданный список правила фильтрации пакетов от хостов в Домашней сети 192.168.1.0/24 к адресу 217.20.147.94

(config-acl)>deny tcp 192.168.1.0 255.255.255.0 217.20.147.94 255.255.255.255

(config-acl)>exit

включение созданного списка на интерфейсе модема в исходящее направление

(config)>interface UsbModem0

(config-if)>ip access-group _WEBADMIN_UsbModem0 out

(config-if)>exit

сохранение конфигурации

(config)>system config-save

Информацию о командах по настройке правил Firewall можно найти в справочнике командного интерфейса (CLI) интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 17 из 23

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 3
  • Нужно все-таки добавить в систему блокировки сайтов, блокировку по символьному имени домена или сайта (части имени сайта), а также предлагаю сделать фильтрацию интернет-контента по недопустимым словам, данная система реализована даже в таких дешевых роутерах как upvel.

  • Спасибо за предложения по улучшению роутеров Keenetic и добавлению нового функционала. Мы работает над улучшением работоспособности, упрощением настройки каких-то функций и конечно над добавлением новых возможностей. Мы передадим ваши пожелания разработчикам.
    Что же касается именно функции блокировки контента, то самый простой способ заблокировать доступ к веб-сайту – воспользоваться сервисом SkyDNS (дополнительную информацию можно найти в статье: «Защита домашней сети и фильтрация контента с помощью сервиса SkyDNS»).

  • Как заблокировать доступ по ip-адресам описано выше. Если же вы говорите о блокировке по доменному имени, и по какой-либо причине SkyDNS вам не подходит, есть еще обходной путь - добавить в файл конфигурации startup-config.txt команды ip host с именами сайтов, которые вы хотите заблокировать и несуществующим ip-адресом, например вот так:
    ip host www.rbc.ru 192.168.1.20
    ...
    после чего сайт www.rbc.ru будет заблокирован. Всего можно добавить 64 таких записи.
    Но следует отменить, что некоторые сайты, например Вконтакте, используют большое число доменных имен, поэтому заблокировать их таким способом непростая задача. В таких случаях SkyDNS конечно предпочтительнее.Этот сервис имеет широкие возможности блокировки/разрешения доступа к сайтам как по категориям, так и по конкретным url, дает возможность посмотреть статистику обращений. Если требуется только один профиль, все это можно получить бесплатно.

Войдите в службу, чтобы оставить комментарий.