Настройка правил межсетевого экрана, в которых используется диапазон IP-адресов

Рассмотрим на конкретных примерах особенности настройки правил Межсетевого экрана интернет-центра Keenetic, когда нужно использовать диапазон IP-адресов.

Теоретическую информацию с описанием работы Межсетевого экрана и примерами вы найдете в статьях "Как реализован межсетевой экран?" и "Примеры использования правил межсетевого экрана".

При создании правил Межсетевого экрана через веб-конфигуратор можно в поле "IP-адрес источника/назначения" указать "Подсеть" на основе масок подсетей.

subnet-01.png

Маска подсети позволяет разделить сеть на несколько сетей меньшего размера (на подсети) с определенным количеством адресов под хосты.
Подсеть — это логическое разделение сети IP. У всех хостов одной сети или подсети одна и та же маска подсети.

Дополнительную теоретическую информацию о масках подсетей можно найти в статье "Пример расчета количества хостов и подсетей на основе IP-адреса и маски подсети".

Вот как выглядит таблица количества подсетей и хостов для 24-битной маски (255.255.255.0) сети класса C:

Маска подсети Префикс Количество подсетей Количество рабочих адресов
для хостов подсети
255.255.255.128 /25

2

126
255.255.255.192 /26 4 62
255.255.255.224 /27 8 30
255.255.255.240 /28 16 14
255.255.255.248 /29 32 6
255.255.255.252 /30 64 2

Маска 255.255.255.0 (/24) определяет всю подсеть класса C, т.е. 254 адреса, а 255.255.255.255 (/32) позволяет указать единичный узел сети.

В Интернете можно найти большое количество онлайн сетевых IP-калькуляторов, которые позволят быстро рассчитать IP-адреса и маски подсетей.

Приведем примеры.

1.1. Допустим, нужно запретить доступ по протоколу TCP хостам локальной сети из диапазона IP-адресов 192.168.100.33 – 192.168.100.46 (14 хостов).

Правило межсетевого экрана для нашего примера будет выглядеть следующим образом (правило для интерфейса домашней сети):

subnet-02.png

Подсеть 192.168.100.32 с сетевой маской 255.255.255.240 (/28) позволяет выделить логическую подсеть с 14 рабочими адресами (IP-адрес первого хоста — 192.168.100.33, IP-адрес последнего хоста — 192.168.100.46). 

1.2. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.65 — 192.168.1.126 (62 хоста). В этом случае следует использовать сетевую маску 255.255.255.192 (/26). В правиле межсетевого экрана в качестве подсети нужно указать адрес​ 192.168.1.64 и маску 255.255.255.192. 

1.3. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.201 — 192.168.1.206 (6 хостов). В этом случае следует использовать сетевую маску 255.255.255.248 (/29). В правиле межсетевого экрана в качестве подсети нужно указать адрес​ 192.168.1.200 и маску 255.255.255.248.

TIP: Совет: Если нужно использовать более широкий диапазон IP-адресов, который не получается выделить одной маской (например, 192.168.1.33 — 192.168.1.70), можно использовать несколько правил сетевого экрана: 1-е правило IP-адрес подсети 192.168.100.32 с маской 255.255.255.224, а 2-е правило для IP-адреса подсети 192.168.100.64 с маской 255.255.255.248.

NOTE: Важно! Если в наборе правил межсетевого экрана вы одновременно используете разрешающие и запрещающие правила, в этом случае, разрешающие правила должны располагаться выше запрещающих. Сначала создавайте разрешающие правила для определенных адресов или подсетей, а затем запрещающие.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.