Як коректно налаштувати правила міжмережевого екрану (Firewall) в інтернет-центрах серії Keenetic?
Для захисту вашої локальної мережі від атак і проникнення зловмисників з Інтернету в роутерах серії Keenetic за замовчуванням працює міжмережевий екран. У більшості випадків налаштувань за замовчуванням досить для забезпечення безпеки і додаткове налаштуваня міжмережевого екрану не потрібне. Але якщо це необхідно для вирішення певних завдань, інтернет-центр надає гнучкі можливості по налаштуванню правил мережевого екрану.
У чинній статті наведемо практичні приклади використання правил міжмережевого екрану в інтернет-центрах серії Keenetic.
Теорію і докладний опис роботи з фаєрволом в інтернет-центрах серії Keenetic можна знайти в статті: «Опис роботи з міжмережевим екраном»
У чинній статті наведемо практичні приклади використання правил міжмережевого екрану в інтернет-центрах серії Keenetic.
Теорію і докладний опис роботи з фаєрволом в інтернет-центрах серії Keenetic можна знайти в статті: «Опис роботи з міжмережевим екраном»
Розглянемо наступні приклади:
Приклад налаштування правил міжмережевого екрану інтернет-центру серії Keenetic, в яких використовується діапазон IP-адрес або портів, наведений в статті: «Налаштування правил міжмережевого екрану інтернет-центру, в яких використовується діапазон IP-адрес або портів»
Налаштування правил міжмережевого екрану будемо виконувати через веб-конфігуратор інтернет-центру. Зробити це можна в меню Безпека на вкладинці Міжмережевий екран.
Налаштування правил міжмережевого екрану будемо виконувати через веб-конфігуратор інтернет-центру. Зробити це можна в меню Безпека на вкладинці Міжмережевий екран.
Увага! Для заборони доступу в Інтернет в правилах міжмережевого екрану ми будемо вказувати протокол передачі даних TCP, тому що Інтернет побудований на базі мережевих протоколів передачі даних TCP / IP.
Приклад 1. Дозволити доступ в Інтернет тільки для одного певного комп'ютера локальної мережі, а для всіх інших заблокувати доступ.
У чинному прикладі потрібно створити два правила для інтерфейсу локальної мережі Home network.
Спочатку створюємо правило, що дозволяє, в якому вказуємо IP-адресу джерела (IP-адреса комп'ютера, до якого буде дозволено доступ) і тип протоколу TCP.
Спочатку створюємо правило, що дозволяє, в якому вказуємо IP-адресу джерела (IP-адреса комп'ютера, до якого буде дозволено доступ) і тип протоколу TCP.
Потім створюємо правило, що забороняє, в якому вказуємо у якості IP-адреси джерела підмережу (192.168.1.0 c маскою 255.255.255.0) і тип протоколу TCP.
Попередження! Налагодження чинного правила слід виконувати з комп'ютера, IP-адресі якого дозволено доступ в Інтернет. В іншому випадку, після застосування зазначених вище правил, Ви втратите доступ до веб-конфігуратору інтернет-центру. Якщо ж таке сталося, призначте вручну дозволену IP-адресу в налаштуваннях мережевого адаптера і потім виконайте підключення до веб-конфігуратору.
В чинному прикладі потрібно створити одне правило для інтерфейсу локальної мережі Home network.
Створюємо правило, що забороняє, в якому вказуємо IP-адресу джерела (IP-адреса комп'ютера, якому буде заборонений доступ) і тип протоколу TCP.
Створюємо правило, що забороняє, в якому вказуємо IP-адресу джерела (IP-адреса комп'ютера, якому буде заборонений доступ) і тип протоколу TCP.
В чинному прикладі заблокуємо доступ всім комп'ютерам локальної мережі до веб-сайту соціальної мережі знайомств Love.Ru
Увага! В налаштуваннях правил міжмережевого екрану інтернет-центру серії Keenetic неможна використовувати доменні імена, а можна вказувати тільки IP-адреси.
У зв'язку з чим, перед налаштуванням правил потрібно з'ясувати IP-адресу (и) потрібного вам веб-сайту. Один сайт може мати кілька різних IP-адрес (зазвичай це стосується великих ресурсів, таких yandex.ru, google.com, vk.com і ін).
У зв'язку з чим, перед налаштуванням правил потрібно з'ясувати IP-адресу (и) потрібного вам веб-сайту. Один сайт може мати кілька різних IP-адрес (зазвичай це стосується великих ресурсів, таких yandex.ru, google.com, vk.com і ін).
Перший спосіб дізнатися IP-адресу сайту - використовувати спеціальну команду nslookup <ім'я веб-сайту>
Наприклад, в командному рядку операційної системи виконаємо команду nslookup love.ru
Наприклад, в командному рядку операційної системи виконаємо команду nslookup love.ru
Результат виконання зазначеної вище команди дозволить побачити IP-адреси, на яких розміщується веб-сайт (в нашому прикладі сайт використовує 4 IP-адреси).
Інший спосіб дізнатися IP-адресу сайту - скористатися одним зі спеціальних онлайн-сервісів (наприклад, 2ip.ru).
У спеціальній рядку потрібно буде вказати ім'я сайту, що Вас цікавить, і натиснути кнопку Перевірити. Після цього Ви побачите всі IP-адреси, на яких працює сайт.
У спеціальній рядку потрібно буде вказати ім'я сайту, що Вас цікавить, і натиснути кнопку Перевірити. Після цього Ви побачите всі IP-адреси, на яких працює сайт.
Тепер, з'ясувавши IP-адреси веб-сайту, можна починати створення правил брандмауера.
Увага! Веб-сайти можуть працювати не тільки на протоколі HTTP, але і на протоколі HTTPS.
Так як в нашому прикладі сайт використовує 4 IP-адреси, створимо для інтерфейсу локальної мережі Home network 8 правил для блокування трафіку по протоколах: 4 для HTTP і 4 для HTTPS.
Створюємо правила, що заборонять, в яких вказуємо IP-адреси призначення (IP-адреси сайту, до якого буде заборонений доступ) і тип протоколу (HTTP і HTTPS).
Створюємо правила, що заборонять, в яких вказуємо IP-адреси призначення (IP-адреси сайту, до якого буде заборонений доступ) і тип протоколу (HTTP і HTTPS).
Приклад 4. Дозволити певному комп'ютеру локальної мережі доступ тільки до одного вказаною веб-сайту.
В чинному прикладі дозволимо комп'ютеру локальної мережі з IP-адресою 192.168.1.40 доступ тільки до веб-сайту вільної енциклопедіїи Вікіпедія. Доступ же до інших сайтів Інтернету буде заблокований для зазначеного комп'ютера.
Спочатку визначимо IP-адресу потрібного нам веб-сайту. У нашому прикладі це сайт uk.wikipedia.org і його IP-адреса 91.198.174.192. Детальну інформацію про те як визначити IP-адресу (а) сайту можна знайти в Прикладі 3 чинної статті.
У чинному прикладі потрібно створити три правила для інтерфейсу локальної мережі Home network.
Спочатку створюємо правила, що дозволяють, в яких вказуємо IP-адресу джерела (IP-адреса комп'ютера,якому буде дозволено доступ), IP-адреса призначення (IP-адреса веб-сайту, до якого буде дозволений доступ) і тип протоколу HTTP і HTTPS.
Спочатку створюємо правила, що дозволяють, в яких вказуємо IP-адресу джерела (IP-адреса комп'ютера,якому буде дозволено доступ), IP-адреса призначення (IP-адреса веб-сайту, до якого буде дозволений доступ) і тип протоколу HTTP і HTTPS.
Потім створюємо правило, що забороняє, в якому вказуємо IP-адресу джерела (IP-адресу комп'ютера, якому буде заборонений доступ) і тип протоколу TCP (для блокування Інтернету).
Приклад 5. Дозволити доступ з локальної мережі в Інтернет тільки за певними протоколами (сервісами, службами).
Дозволимо доступ комп'ютерам локальної мережі в Інтернет тільки за протоколами HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь інший трафік заблокуємо.
У чинному прикладі потрібно створити правила для інтерфейсу локальної мережі Home network.
Спочатку створюємо правила, що дозволяють, в яких вказуємо значення Будь-який у полях IP-адреса джерела та IP-адреса призначення, а в поле Протокол вибираємо зі списку потрібний тип протоколу (сервісу або служби).
А потім створюємо два забороняють правила, в яких вказуємо значення Будь в полях IP-адреса джерела та IP-адреса призначення, а у полі Протокол значення TCP і UDP для блокування доступу в Інтернет.
Звертаємо вашу увагу, що для коректної роботи Інтернету необхідна робота служби доменних імен DNS (TCP / 53, UDP / 53), яка дозволяє перетворювати символьні імена сайтів / доменів в IP-адреси (і навпаки).
У нашому прикладі вийшов наступний набір правил міжмережевого екрану:
У чинному прикладі потрібно створити правила для інтерфейсу локальної мережі Home network.
Спочатку створюємо правила, що дозволяють, в яких вказуємо значення Будь-який у полях IP-адреса джерела та IP-адреса призначення, а в поле Протокол вибираємо зі списку потрібний тип протоколу (сервісу або служби).
А потім створюємо два забороняють правила, в яких вказуємо значення Будь в полях IP-адреса джерела та IP-адреса призначення, а у полі Протокол значення TCP і UDP для блокування доступу в Інтернет.
Звертаємо вашу увагу, що для коректної роботи Інтернету необхідна робота служби доменних імен DNS (TCP / 53, UDP / 53), яка дозволяє перетворювати символьні імена сайтів / доменів в IP-адреси (і навпаки).
У нашому прикладі вийшов наступний набір правил міжмережевого екрану:
Увага! За замовчуванням доступ до керування інтернет-центром (до його веб-конфігуратору) із зовнішньої мережі (з Інтернету) заблокований. Це реалізовано з метою безпеки пристрою і локальної мережі.
Доступ до пристрою з Інтернету можливий тільки при наявності "білої" публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який роутер підключається до глобальної мережі. Бажано, щоб це була статична або постійна IP-адреса. Якщо ж IP-адреса для виходу в Інтернет динамічна (тобто змінюється кожен раз при новому з'єднанні з провайдером), потрібно скористатися сервісом динамічного DNS (додаткова інформація наведена в статті «Налаштування і використання сервісу динамічної DNS від No-IP»).
Доступ до пристрою з Інтернету можливий тільки при наявності "білої" публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який роутер підключається до глобальної мережі. Бажано, щоб це була статична або постійна IP-адреса. Якщо ж IP-адреса для виходу в Інтернет динамічна (тобто змінюється кожен раз при новому з'єднанні з провайдером), потрібно скористатися сервісом динамічного DNS (додаткова інформація наведена в статті «Налаштування і використання сервісу динамічної DNS від No-IP»).
В чинному прикладі створимо правило міжмережевого екрану для можливості віддаленого керування роутером з Інтернету (зокрема для підключення до веб-конфігуратору пристрою).
У доповненні до цього дозволимо виконання пінг-запитів ICMP на роутер з Інтернету (це дозволить перевіряти доступність пристрою в мережі).
З метою підвищення безпеки віддалене керування і пінг роутера з боку зовнішньої мережі дозволимо тільки з певної публічної IP-адреси (в нашому прикладі з IP-адреси 93.94.95.96).
Увага! Не відкривайте доступ до веб-конфігуратору інтернет-центру і не дозволяйте виконання пінг-запитів для всіх користувачів з боку публічної (глобальної) мережі.
У доповненні до цього дозволимо виконання пінг-запитів ICMP на роутер з Інтернету (це дозволить перевіряти доступність пристрою в мережі).
З метою підвищення безпеки віддалене керування і пінг роутера з боку зовнішньої мережі дозволимо тільки з певної публічної IP-адреси (в нашому прикладі з IP-адреси 93.94.95.96).
Увага! Не відкривайте доступ до веб-конфігуратору інтернет-центру і не дозволяйте виконання пінг-запитів для всіх користувачів з боку публічної (глобальної) мережі.
У нашому прикладі потрібно створити правила для інтерфейсу зовнішньої мережі Broadband connection (ISP). Потрібно створювати правила для інтерфейсу, через який здійснюється вихід в Інтернет (це може бути PPPoE, PPTP, USB LTE та ін.).
Створюємо правило, що дозволяє, в якому вказуємо в полі IP-адреса джерела (публічна IP-адреса комп'ютера, з якого буде дозволено доступ з Інтернету) і в полі Протокол вибираємо TCP / 80 (HTTP).
Створюємо правило, що дозволяє, в якому вказуємо в полі IP-адреса джерела (публічна IP-адреса комп'ютера, з якого буде дозволено доступ з Інтернету) і в полі Протокол вибираємо TCP / 80 (HTTP).
Потім створюємо аналогічне правило, тільки для протоколу ICMP (для роботи утиліти ping).
Таким чином пінг інтернет-центру (по протоколу ICMP) і доступ до його веб-конфігуратору (по протоколу HTTP) будуть можливі з Інтернету, тільки з певної IP-адреси.
Звертаємо вашу увагу, що в веб-браузері для доступу до веб-конфігуратору інтернет-центру потрібно використовувати публічну WAN IP-адресу роутера в глобальній мережі (її можна подивитися в веб-конфігураторі інтернет-центру в вікні Системний монітор на вкладинці Система в полі Адреса IPv4). Адреси в браузері потрібно починати з http: //, тобто http: // IP-адреса (наприклад, http://89.88.87.86).
Звертаємо вашу увагу, що в веб-браузері для доступу до веб-конфігуратору інтернет-центру потрібно використовувати публічну WAN IP-адресу роутера в глобальній мережі (її можна подивитися в веб-конфігураторі інтернет-центру в вікні Системний монітор на вкладинці Система в полі Адреса IPv4). Адреси в браузері потрібно починати з http: //, тобто http: // IP-адреса (наприклад, http://89.88.87.86).
Приклад 7. Заблокувати звернення до інтернет-центру з IP-адрес певної підмережі з боку Інтернету або зовнішньої мережі.
Припустимо, що Ви виявили часті спроби звернень (атаку) з Інтернету на WAN-порт роутера з невідомих IP-адрес.
Наприклад, спроби підключення йдуть з різних IP-адрес, але всі вони належать одній підмережі 115.230.121.x.
В чинному випадку на зовнішньому інтерфейсі інтернет-центру (через який здійснюється доступ в Інтернет) потрібно заблокувати доступ до WAN-порту для IP-адрес підмережі 115.230.121.x.
Створіть правила, що забороняють, для трафіку TCP / UDP / ICMP (пінг), де в якості IP-адреси джерела потрібно встановити значення Підмережа і вказати номер підмережі і маску.
Звертаємо вашу увагу, що при використанні маски підмережі з префіксом / 24 (255.255.255.0) IP-адреса підмережі повинен закінчуватися на 0 (в нашому прикладі це 115.230.121.0).
Наприклад, спроби підключення йдуть з різних IP-адрес, але всі вони належать одній підмережі 115.230.121.x.
В чинному випадку на зовнішньому інтерфейсі інтернет-центру (через який здійснюється доступ в Інтернет) потрібно заблокувати доступ до WAN-порту для IP-адрес підмережі 115.230.121.x.
Створіть правила, що забороняють, для трафіку TCP / UDP / ICMP (пінг), де в якості IP-адреси джерела потрібно встановити значення Підмережа і вказати номер підмережі і маску.
Звертаємо вашу увагу, що при використанні маски підмережі з префіксом / 24 (255.255.255.0) IP-адреса підмережі повинен закінчуватися на 0 (в нашому прикладі це 115.230.121.0).
Примітка
У доповнення до вказаних вище прикладів рекомендуємо також ознайомитися зі статтє «Використання міжмережевого екрану для надання різних прав доступу в Інтернет» та «Функція керування доступом до Інтернету на сторінці пристроїв домашньої мережі».
KB-4985