Примеры использования правил межсетевого экрана

Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.

В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.
Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье "Как реализован межсетевой экран?".

NOTE: Важно! При проверке работоспособности правила нужно учитывать следующее: когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии – принудительного или по истечении времени жизни сессии.
Для корректной работы вновь созданного правила (для сброса текущих / активных соединений), интерфейс интернет-центра, к которому оно применимо, следует отключить и включить снова.

Рассмотрим следующие примеры:

1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ.

2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети.

3. Заблокировать доступ к определенному веб-сайту из локальной сети.

4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту.

5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам).

6. Разрешить удаленное управление интернет-центром.

7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети.


Настройку правил сетевого экрана будем производить через веб-конфигуратор интернет-центра. Сделать это можно на странице "Межсетевой экран".

TIP: Примечание: Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.

Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ.

В данном примере нужно создать два правила для интерфейса "Домашняя сеть".
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.

ex-firewall-01.png

Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.

ex-firewall-02.png

NOTE: Важно! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.

Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети.

В данном примере нужно создать одно правило для интерфейса "Домашняя сеть". Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP. 

ex-firewall-03.png

Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети.

В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org

NOTE: Важно! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.

В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).

Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>
Например, в командной строке операционной системы выполним команду:

nslookup ru.wikipedia.org


nslookup.png

Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт ru.wikipedia.org использует один IP-адрес 91.198.174.192).

Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт.

2ip.png

Теперь, выяснив IP-адрес(а) веб-сайта, можно приступать к созданию правил межсетевого экрана.

NOTE: Важно! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.

Так как в нашем примере сайт использует один IP-адрес, создадим для интерфейса "Домашняя сеть" два правила для блокировки трафика по протоколам: первое для HTTP и второе для HTTPS. Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).

ex-firewall-04.png

ex-firewall-05.png 

Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту.

В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.0.31 доступ только к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org
Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.

Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной инструкции.

В данном примере нужно создать три правила для интерфейса "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.

ex-firewall-06.png 

ex-firewall-07.png

Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета). 

ex-firewall-08.png

Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам).

Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем.

В данном примере нужно создать правила для интерфейса локальной сети "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" выбираем из списка нужный тип протокола (сервиса или службы). А затем создаем два запрещающих правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" значение TCP и UDP для блокирования доступа в Интернет.

NOTE: Важно! Для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).

В нашем примере получился следующий набор правил сетевого экрана:

ex-firewall-09.png

Пример 6. Разрешить удаленное управление интернет-центром.

NOTE: Важно! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.

Доступ к устройству из Интернета возможен только при наличии серого IP-адреса с помощью сервиса KeenDNS и белого публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети.

В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).

В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).

NOTE: Важно! При использовании белого публичного IP-адреса без необходимости не рекомендуем открывать доступ к веб-конфигуратору интернет-центра и разрешать выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.

В нашем примере нужно создать правила для интерфейса внешней сети "Провайдер". Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).

Создаем разрешающее правило, в котором указываем в поле "IP-адрес источника" (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле "Протокол" выбираем "TCP/80 (HTTP)".

ex-firewall-10.png

Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping). 

ex-firewall-11.png

Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.

NOTE: Важно! В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра на стартовой странице "Системный монитор" в информационной панели "Интернет", нажав "Подробнее о соединении" в строке "IP-адрес"). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86). 

Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети.

Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов. Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.

В данном случае на внешнем интерфейсе интернет-центра "Провайдер" (или другой, через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.

Создадим запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве "IP-адреса источника" нужно установить значение "Подсеть" и указать номер подсети и маску. При использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).

ex-firewall-12.png

ex-firewall-13.png

ex-firewall-14.png

TIP: Примечание

Вопрос: Возможно ли с помощью правил Межсетевого экрана заблокировать трафик только между двумя хостами локальной сети?

Ответ: С помощью правил Межсетевого экрана заблокировать трафик между двумя хостами одной локальной сети нельзя, так как хосты находятся в одном сегменте и обмен между ними проходит на втором уровне модели OSI. Межсетевой экран работает на третьем уровне модели OSI.
Заблокировать трафик возможно только между всеми хостами, которые находятся в разных сегментах сети, включением функции isolate-private (блокирует связь полностью между сегментами), или с помощью отдельных правил Межсетевого экрана, блокируя доступ только для некоторых хостов.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.