Настройка интернет-центра для блокировки доступа домашней сети к определенному веб-ресурсу (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Как заблокировать доступ к определенному сайту?".

Необходимо отключить доступ для всей домашней сети на определенный веб-сайт. Как в интернет-центре настроить блокировку доступа для всей домашней сети к определенному веб-ресурсу?


В данной статье мы рассмотрим пример блокировки доступа устройств локальной сети к определенному веб-ресурсу (сайту) Интернета.

Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»

Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана»
Один из простых способов заблокировать доступ к веб-сайту – воспользоваться сервисом SkyDNS (дополнительную информацию можно найти в статье: «Защита домашней сети и фильтрация контента с помощью сервиса SkyDNS»).

Итак, заблокируем доступ устройствам локальной сети к определенному веб-сайту средствами интернет-центра серии Keenetic (с микропрограммой NDMS V2).
В настройках межсетевого экрана при создании правил можно использовать только IP-адреса (нельзя указать символьное имя домена или сайта).

Обращаем ваше внимание, что IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам.

Для того чтобы узнать IP-адрес какого-то веб-сайта, можно воспользоваться утилитой nslookup из состава операционной системы Windows. Зайдите в командную строку Windows (Пуск > Выполнить > cmd) и выполните команду nslookup xxx, где xxx - это имя веб-сайта.
Например:

C:\Users\007>nslookup odnoklassniki.ru

Non-authoritative answer:
Name:  odnoklassniki.ru
Address: 217.20.147.94 

Итак, зная IP-адрес веб-сайта, можно приступить к настройке интернет-центра.

Внимание! Правила межсетевого экрана, добавляемые в веб-интерфейсе устройства, действуют для входящих в Keenetic сетевых пакетов. Поэтому созданное в приведённом примере правило будет блокировать пакеты с IP-адресом назначения 217.20.147.94.

Правило с IP-адресом блокируемой сети в поле IP-адрес назначения нужно добавить на интерфейс домашний сети Home network.

В этом случае сетевой пакет, предназначенный блокируемой сети, будет отброшен на входе в LAN-интерфейс интернет-центра Keenetic.

Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443.

Примечание

В дополнении к указанному выше примеру рассмотрим более частный случай — пример создания фильтра для ограничения доступа к сайту при условии резервирования связи. Это может быть удобно в случае высокой стоимости трафика в резервном канале, по причине более низкой пропускной способности, либо в силу иных обстоятельств.

При создании в веб-конфигураторе запрещающего правила межсетевого экрана для подключенного к провайдеру интерфейса с IP-адресом источника, равным IP-адресу сайта, оно не приведет к блокированию доступа к этому сайту.

Так происходит потому, что правила межсетевого экрана (Firewall) в интернет-центре обрабатываются не по-пакетно, а сессиями. Таким образом, созданное правило могло бы заблокировать передачу трафика от сайта к пользователю, но поскольку в большинстве сценариев пользователь обращается к ресурсу сайта первым, инициируя этим создание сессии, ответ от сайта будет проходить уже в рамках этой сессии. Правило входящего фильтра не сможет быть задействовано, и, следовательно, не приведет к блокированию доступа.

Ограничение привязки правил фильтрации к входящему трафику отсутствует при управлении устройством через интерфейс командной строки (CLI).

Пусть требуется заблокировать доступ к сайту с адресом 217.20.147.94 для хостов из Домашней сети, когда доступ в Интернет осуществляется через USB-модем на интерфейсе UsbModem0.

Для этого, в командной строке интернет-центра следует выполнить команды:

создание списка контроля доступа

(config)>access-list _WEBADMIN_UsbModem0

включение в созданный список правила фильтрации пакетов от хостов в Домашней сети 192.168.1.0/24 к адресу 217.20.147.94

(config-acl)>deny tcp 192.168.1.0 255.255.255.0 217.20.147.94 255.255.255.255

(config-acl)>exit

включение созданного списка на интерфейсе модема в исходящее направление

(config)>interface UsbModem0

(config-if)>ip access-group _WEBADMIN_UsbModem0 out

(config-if)>exit

сохранение конфигурации

(config)>system config-save

Информацию о командах по настройке правил Firewall можно найти в справочнике командного интерфейса (CLI) интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 17 из 23

Еще есть вопросы? Отправить запрос