Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.
В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.
Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье "Как реализован межсетевой экран?".
NOTE: Важно! При проверке работоспособности правила нужно учитывать следующее: когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии – принудительного или по истечении времени жизни сессии.
Для корректной работы вновь созданного правила (для сброса текущих / активных соединений), интерфейс интернет-центра, к которому оно применимо, следует отключить и включить снова.
Рассмотрим следующие примеры:
2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети
3. Заблокировать доступ к определенному веб-сайту из локальной сети
4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту
6. Разрешить удаленное управление интернет-центром
8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса
9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети
Пример настройки правил межсетевого экрана, в которых используется диапазон IP-адресов, представлен в статье Настройка правил межсетевого экрана, в которых используется диапазон IP-адресов.
Настройку правил сетевого экрана будем производить через веб-конфигуратор интернет-центра. Сделать это можно на странице "Межсетевой экран".
TIP: Примечание: Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.
Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ
В данном примере нужно создать два правила для интерфейса "Домашняя сеть".
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.
Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.
NOTE: Важно! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.
Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети
В данном примере нужно создать одно правило для интерфейса "Домашняя сеть". Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.
Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети
В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org
NOTE: Важно! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.
В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).
Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>
Например, в командной строке операционной системы выполним команду:
nslookup ru.wikipedia.org
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт ru.wikipedia.org использует один IP-адрес 91.198.174.192).
Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт.
Теперь, выяснив IP-адрес(а) веб-сайта, можно приступать к созданию правил межсетевого экрана.
NOTE: Важно! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.
Так как в нашем примере сайт использует один IP-адрес, создадим для интерфейса "Домашняя сеть" два правила для блокировки трафика по протоколам: первое для HTTP и второе для HTTPS. Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).
Дополнительную информацию вы найдете в инструкции "Как заблокировать доступ к определенному сайту?".
Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту
В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.0.31 доступ только к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org
Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.
Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной инструкции.
В данном примере нужно создать три правила для интерфейса "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.
Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета).
Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам)
Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем.
В данном примере нужно создать правила для интерфейса локальной сети "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" выбираем из списка нужный тип протокола (сервиса или службы). А затем создаем два запрещающих правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" значение TCP и UDP для блокирования доступа в Интернет.
NOTE: Важно! Для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).
В нашем примере получился следующий набор правил сетевого экрана:
Пример 6. Разрешить удаленное управление интернет-центром
NOTE: Важно! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен при наличии белого публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети, или серого IP-адреса с помощью сервиса KeenDNS.
В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).
В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).
NOTE: Важно! При использовании белого публичного IP-адреса без необходимости не рекомендуем открывать доступ к веб-конфигуратору интернет-центра и разрешать выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.
В нашем примере нужно создать правила для интерфейса внешней сети "Провайдер". Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).
Создаем разрешающее правило, в котором указываем в поле "IP-адрес источника" (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле "Протокол" выбираем "TCP/80 (HTTP)".
Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping).
Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.
NOTE: Важно! В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра на стартовой странице "Системный монитор" в разделе "Интернет", нажав "Подробнее о соединении" в строке "IP-адрес"). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86).
Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети
Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов. Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.
В данном случае на внешнем интерфейсе интернет-центра "Провайдер" (или другой, через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.
Создадим запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве "IP-адреса источника" нужно установить значение "Подсеть" и указать номер подсети и маску. При использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).
Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса
Предположим, что в Keenetic с помощью правила переадресации портов открыт доступ для подключения из Интернета к домашнему компьютеру по протоколу RDP (TCP/3389). Но в этом случае порт будет открыт для всех IP-адресов из Интернета. В целях безопасности рекомендуется разрешить доступ по RDP только с определенного внешнего IP-адреса. Сделать это можно с помощью правил межсетевого экрана на внешнем интерфейсе интернет-центра "Провайдер" (или другом, через который осуществляется доступ в Интернет).
Создайте сначала разрешающее правило для доступа с определенного IP-адреса на порт TCP 3389, а потом запрещающее правило для всех IP-адресов на порт TCP 3389.
В нашем примере разрешено подключение только с публичного IP-адреса 93.94.95.96.
NOTE: Важно! Если вы настроили маппинг порта назначения в правиле переадресации (например, с 4389 на 3389), в правиле межсетевого экрана нужно указывать именно настоящий номер порта назначения, который используется на сервере в локальной сети, т.е. 3389.
Пример 9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети
Если некоторым устройствам в локальной сети необходимо запретить доступ к веб-интерфейсу Keenetic по адресам 192.168.1.1 и my.keenetic.net, это можно сделать с помощью запрещающих правил межсетевого экрана, создав их на интерфейсе локальной сети (по умолчанию это интерфейс "Домашняя сеть").
Покажем пример запрета доступа к веб-интерфейсу роутера для устройства с IP-адресом 192.168.1.143.
В нашем примере добавлены два запрещающих правила. В качестве адреса источника указан IP-адрес хоста локальной сети, которому мы хотим запретить доступ к веб-интерфейсу роутера. Обращаем внимание, что в правиле для запрета доступа через 192.168.1.1 порт назначения должен быть указан TCP/80, а в правиле для запрета доступа по адресу my.keenetic.net нужно указать адрес назначения 78.47.125.180 (именно этот IP привязан к доменному имени my.keenetic.net) и порт TCP/443 (т.к. при обращении по доменному имени происходит автоматический редирект на протокол https).
Мы показали пример для запрета доступа одного хоста к веб-интерфейсу роутера из локальной сети, но аналогично можно сделать правила и для других хостов.
TIP: Примечание
Вопрос: Возможно ли с помощью правил Межсетевого экрана заблокировать трафик только между двумя хостами локальной сети?
Ответ: С помощью правил Межсетевого экрана заблокировать трафик между двумя хостами одной локальной сети нельзя, так как хосты находятся в одном сегменте и обмен между ними проходит на втором уровне модели OSI. Межсетевой экран работает на третьем уровне модели OSI.
Заблокировать трафик возможно только между всеми хостами, которые находятся в разных сегментах сети, включением функции isolate-private (блокирует связь полностью между сегментами), или с помощью отдельных правил Межсетевого экрана, блокируя доступ только для некоторых хостов.