Пример настройки межсетевого экрана, чтобы при переходе на резервный канал только определенные устройства могли выходить в Интернет

Одна из стандартных схем применения интернет-центра Keenetic, когда роутер подключен по проводу к основному интернет-каналу, а также использует резервное подключение через USB-модем 3G/4G.

Логика работы интернет-центра в такой схеме будет следующей: Keenetic постоянно проверяет доступность Интернета на основном канале (Ethernet-подключение к провайдеру), и при отсутствии соединения интернет-центр автоматически перейдет на использование резервного подключения к Интернету через USB-модем оператора мобильной связи 3G/4G. Затем, при появлении Интернета на основном соединении, интернет‑центр вернется на работу с основным каналом. Но в этой схеме на резервное подключение перейдут все устройства, которые были подключены к роутеру. А так как рассматриваемое нами резервное подключение происходит через сеть оператора сотовой связи, возникает вопрос экономии трафика.

Ниже рассмотрим пример настройки межсетевого экрана на роутере Keenetic, чтобы при переходе на резервное подключение только определенные сетевые устройства могли получить доступ в Интернет, а для всех остальных заблокировать доступ.

В настройках межсетевого экрана нужно создать правила для резервного интерфейса. В нашем примере в роли резервного подключения используется USB-модем Yota. При подключении этого модема к роутеру по умолчанию создается интерфейс Yota0. На этом интерфейсе мы создадим 3 правила — два для предоставления доступа устройствам с IP-адресами 192.168.1.142 и 192.168.1.143, и одно правило для запрета доступа всем остальным устройствам.

fw-res-01.png

Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес устройства, которому будет разрешен доступ) и тип протокола TCP.

fw-res-02.png

Если вы хотите разрешить доступ нескольким устройствам, создайте аналогичные правила для нужных устройств.

Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.

fw-res-03.png

Дальнейшая настройка возможна двумя способами: с помощью редактирования файла конфигурации роутера или из интерфейса командной строки (CLI) роутера.

Способ 1. Редактирование файла конфигурации роутера.

1.1 Перейдите на страницу "Общие настройки" в раздел "Системные файлы". Найдите файл startup-config. Это текстовый файл с пользовательскими настройками, которые выполняются при запуске интернет-центра. Сохраните его на компьютере для дальнейшей небольшой правки.

Нажмите по записи файла startup-config и затем кнопку "Сохранить на компьютер". Файл будет загружен веб-браузером. Если появится окно сохранения файла, укажите местоположение (папку, в которую будет сохранен файл) и нажмите "Сохранить" или "OK".

fw-res-04.png

1.2 Откройте файл конфигурации startup-config для редактирования в любом текстовом редакторе, например в Блокноте. Затем найдите секцию конфигурации интерфейса резервного провайдера (в нашем примере это Yota0) и в строке ip access-group замените слово in на out. После чего сохраните файл.

В нашем примере в строке

ip access-group _WEBADMIN_Yota0 in 


слово in было заменено на out и получилась строка

ip access-group _WEBADMIN_Yota0 out


fw-re-05-01.png

fw-re-05-02.png

Обязательно сохраните изменения в файле.

1.3 Теперь отредактированный системный файл startup-config нужно записать (загрузить) в интернет-центр. Для этого нажмите кнопку "Заменить файл" и укажите путь к файлу конфигурации startup-config.

fw-res-06.png

После загрузки файла startup-config интернет-центр Keenetic автоматически перезагрузится. Дождитесь полного включения устройства.

Теперь, при активации резервного подключения, межсетевой экран интернет-центра разрешит доступ в Интернет только определенным устройствам, а остальным заблокирует доступ.

Способ 2. Настройка из интерфейса командной строки (CLI) роутера.

Аналогичную настройку, которая была показана в способе 1, можно выполнить с помощью специальных команд.

Подключитесь к интерфейсу командной строки. Сначала выполните команду:

no interface Yota0 ip access-group _WEBADMIN_Yota0 in


fw-res-05-03.png

Затем выполните команду:

interface Yota0 ip access-group _WEBADMIN_Yota0 out


fw-res-05-04.png

Параметр in или out указывает направление трафика, для которого будет применяться ACL.
in — применить фильтрацию к входящим пакетам
out — применить фильтрацию к исходящим пакетам
Для решения нашей задачи нужно на резервном интерфейсе установить фильтрацию к исходящим сетевым пакетам.
Дополнительную информацию вы найдете в статье "Как реализован межсетевой экран?"

Для сохранения настройки обязательно выполните команду:

system configuration save


Полный синтаксис команд вы найдете в справочнике командного интерфейса (CLI) в Центре загрузки.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.