Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.
В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.
Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье "Как реализован межсетевой экран?".
NOTE: Важно! При проверке работоспособности правила нужно учитывать следующее: когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии – принудительного или по истечении времени жизни сессии.
Для корректной работы вновь созданного правила (для сброса текущих / активных соединений), интерфейс интернет-центра, к которому оно применимо, следует отключить и включить снова.
Рассмотрим следующие примеры:
2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети
3. Заблокировать доступ к определенному веб-сайту из локальной сети
4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту
6. Разрешить удаленное управление интернет-центром
8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса
9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети
Пример настройки правил межсетевого экрана, в которых используется диапазон IP-адресов, представлен в статье Настройка правил межсетевого экрана, в которых используется диапазон IP-адресов.
Настройку правил сетевого экрана будем производить через веб-конфигуратор интернет-центра. Сделать это можно на странице "Межсетевой экран".
TIP: Примечание: Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.
Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ
В данном примере нужно создать два правила для интерфейса "Домашняя сеть".
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.
Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.
NOTE: Важно! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.
Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети
В данном примере нужно создать одно правило для интерфейса "Домашняя сеть". Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.
Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети
В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org
NOTE: Важно! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.
В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).
Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>
Например, в командной строке операционной системы выполним команду:
nslookup ru.wikipedia.org
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт ru.wikipedia.org использует один IP-адрес 91.198.174.192).
Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт.
Теперь, выяснив IP-адрес(а) веб-сайта, можно приступать к созданию правил межсетевого экрана.
NOTE: Важно! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.
Так как в нашем примере сайт использует один IP-адрес, создадим для интерфейса "Домашняя сеть" два правила для блокировки трафика по протоколам: первое для HTTP и второе для HTTPS. Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).
Дополнительную информацию вы найдете в инструкции "Как заблокировать доступ к определенному сайту?".
Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту
В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.0.31 доступ только к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org
Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.
Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной инструкции.
В данном примере нужно создать три правила для интерфейса "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.
Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета).
Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам)
Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем.
В данном примере нужно создать правила для интерфейса локальной сети "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" выбираем из списка нужный тип протокола (сервиса или службы). А затем создаем два запрещающих правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" значение TCP и UDP для блокирования доступа в Интернет.
NOTE: Важно! Для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).
В нашем примере получился следующий набор правил сетевого экрана:
Пример 6. Разрешить удаленное управление интернет-центром
NOTE: Важно! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен при наличии белого публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети, или серого IP-адреса с помощью сервиса KeenDNS.
В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).
В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).
NOTE: Важно! При использовании белого публичного IP-адреса без необходимости не рекомендуем открывать доступ к веб-конфигуратору интернет-центра и разрешать выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.
В нашем примере нужно создать правила для интерфейса внешней сети "Провайдер". Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).
Создаем разрешающее правило, в котором указываем в поле "IP-адрес источника" (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле "Протокол" выбираем "TCP/80 (HTTP)".
Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping).
Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.
NOTE: Важно! В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра на стартовой странице "Системный монитор" в разделе "Интернет", нажав "Подробнее о соединении" в строке "IP-адрес"). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86).
Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети
Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов. Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.
В данном случае на внешнем интерфейсе интернет-центра "Провайдер" (или другой, через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.
Создадим запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве "IP-адреса источника" нужно установить значение "Подсеть" и указать номер подсети и маску. При использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).
Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса
Предположим, что в Keenetic с помощью правила переадресации портов открыт доступ для подключения из Интернета к домашнему компьютеру по протоколу RDP (TCP/3389). Но в этом случае порт будет открыт для всех IP-адресов из Интернета. В целях безопасности рекомендуется разрешить доступ по RDP только с определенного внешнего IP-адреса. Сделать это можно с помощью правил межсетевого экрана на внешнем интерфейсе интернет-центра "Провайдер" (или другом, через который осуществляется доступ в Интернет).
Создайте сначала разрешающее правило для доступа с определенного IP-адреса на порт TCP 3389, а потом запрещающее правило для всех IP-адресов на порт TCP 3389.
В нашем примере разрешено подключение только с публичного IP-адреса 93.94.95.96.
NOTE: Важно! Если вы настроили маппинг порта назначения в правиле переадресации (например, с 4389 на 3389), в правиле межсетевого экрана нужно указывать именно настоящий номер порта назначения, который используется на сервере в локальной сети, т.е. 3389.
Пример 9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети
Если некоторым устройствам в локальной сети необходимо запретить доступ к веб-интерфейсу Keenetic по адресам 192.168.1.1 и my.keenetic.net, это можно сделать с помощью запрещающих правил межсетевого экрана, создав их на интерфейсе локальной сети (по умолчанию это интерфейс "Домашняя сеть").
Покажем пример запрета доступа к веб-интерфейсу роутера для устройства с IP-адресом 192.168.1.143.
В нашем примере добавлены два запрещающих правила. В качестве адреса источника указан IP-адрес хоста локальной сети, которому мы хотим запретить доступ к веб-интерфейсу роутера. Обращаем внимание, что в правиле для запрета доступа через 192.168.1.1 порт назначения должен быть указан TCP/80, а в правиле для запрета доступа по адресу my.keenetic.net нужно указать адрес назначения 78.47.125.180 (именно этот IP привязан к доменному имени my.keenetic.net) и порт TCP/443 (т.к. при обращении по доменному имени происходит автоматический редирект на протокол https).
Мы показали пример для запрета доступа одного хоста к веб-интерфейсу роутера из локальной сети, но аналогично можно сделать правила и для других хостов.
TIP: Примечание
Вопрос: Возможно ли с помощью правил Межсетевого экрана заблокировать трафик только между двумя хостами локальной сети?
Ответ: С помощью правил Межсетевого экрана заблокировать трафик между двумя хостами одной локальной сети нельзя, так как хосты находятся в одном сегменте и обмен между ними проходит на втором уровне модели OSI. Межсетевой экран работает на третьем уровне модели OSI.
Заблокировать трафик возможно только между всеми хостами, которые находятся в разных сегментах сети, включением функции isolate-private (блокирует связь полностью между сегментами), или с помощью отдельных правил Межсетевого экрана, блокируя доступ только для некоторых хостов.
Комментарии
Возможно ли, в новом WEB-интерфейсе, с помощью правил Межсетевого экрана заблокировать диапазон адресов? Например если некоторые сайты имеют резервные IP адреса.
К сожалению нет. Можно только способами, которые описаны в статье "Настройка правил межсетевого экрана интернет-центра, в которых используется диапазон IP-адресов".
Вопрос 1: Какое правило для межсетевого экрана применяет Keenetic, когда в его веб-интерфейсе активируем настройку "Разрешить доступ из Интернета" в разделе 'Доменное имя - KeenDNS' и где это правило можно посмотреть?
Вопрос 2: Что будет с правилом межсетевого экрана, созданным по примеру 6 или 7, при активации настройки "Разрешить доступ из Интернета" в разделе 'Доменное имя - KeenDNS'?
1. При активации опции "Разрешить доступ из Интернета" используется команда ip http security-level public, которая устанавливает уровень безопасности. По умолчанию установлено значение private. Уровень public означает, что доступ к HTTP-серверу разрешен для public, private и protected интерфейсов. Подробную информацию вы найдете в инструкции "Как реализован межсетевой экран".
2. Правила МСЭ в примерах 6 и 7 актуальны для публичного IP-адреса на WAN-интерфейсе роутера. Эти правила будут работать при включенной опции "Разрешить доступ из Интернета". Этой опцией вы только разрешаете подключение к WAN-интерфейсу, а командами МСЭ ограничиваете подключение с определенных IP.
Здравствуйте. Возможно ли применить одно правило для нескольких компьютеров в локальной сети (не для всех), например для доступа к определенному сайту? Или в этом случае для каждого компьютера придется определять свое правило?
Правила создаются либо для всех хостов (например для подсети), либо для каждого хоста отдельно.
Возможно ли реализовать правило 3 только для гостевой сети?
Владислав, если вы имеете ввиду правило для Примера 3, то Да, это правило можно создать и для Гостевой сети.
Не является ли запрещающее правило из примера №8 излишним? По умолчанию все подключения из интернета запрещены. Как я понимаю, разрешающим правилом в примере №8, мы только позволяем подключаться по RDP с определенного IP адреса, соответственно все остальные подключения запрещены и не нужно создавать дополнительное запрещающее правило.
Dmitrii, данное правило не является излишним, оно обязательно. Общая логика настройки таких ограничений — "разрешив нужное, запретим всё остальное". Первым правилом (оно должно располагаться выше в списке) вы разрешаете доступ с определенного IP-адреса по определенному порту, а вторым правилом (оно должно быть последним в списке) запрещаем всем остальным подключение.
Подробную информацию вы найдете в инструкции "Как реализован межсетевой экран?" https://help.keenetic.com/hc/ru/articles/360001429839
Войдите в службу, чтобы оставить комментарий.