Налаштування правил міжмережевого екрану інтернет-центру, в яких використовується діапазон IP-адрес або портів

Як вірно налаштувати міжмережевий екран (Firewall) інтернет-центру, якщо в правилах потрібно використовувати діапазони IP-адрес або портів?


Розглянемо на конкретних прикладах особливості налаштування правил брандмауера інтернет-центру серії Keenetic, якщо потрібно використовувати діапазон IP-адрес або діапазон портів протоколу.

Теоретична інформація з описом роботи брандмауера наведена в статті: «Опис роботи з міжмережевим екраном»

Приклади налаштування Ви знайдете в статті: «Приклади використання правил міжмережевого екрану»

При створенні правил Міжмережевого екрана (Firewall) через веб-конфігуратор можна в полі IP-адреса джерела/призначення вказати Підмережа на основі масок підмереж.
 
А у полі Номер порту джерела / призначення можна встановити умову Більше, ніж і Менше, ніж.
 

Ці налаштування допоможуть використовувати діапазони IP-адрес або портів при створенні правил.

Приклад 1. Використання діапазонів IP-адрес в правилах міжмережевого екрану.

Маска підмережі дозволяє розділити мережу на кілька мереж меншого розміру (на підмережі) з певною кількістю адрес під хости.
Підмережа - це логічне поділ мережі IP. В усіх хостів однієї мережі або підмережі одна й та ж маска підмережі.
Додаткову теоретичну інформацію про масках підмереж можна знайти в статті: «Приклад розрахунку кількості хостів та підмереж на основі IP-адреси та маски»

Ось як виглядає таблиця кількості підмереж і хостів для 24-бітної маски (255.255.255.0) мережі класу C:

Маска підмережі

Префікс

Кількість

підмереж

Кількість робочих адрес для хостів підмережі

255.255.255.128

/25

2

126

255.255.255.192

/26

4

62

255.255.255.224

/27

8

30

255.255.255.240

/28

16

14

255.255.255.248

/29

32

6

255.255.255.252

/30

64

2

Маска 255.255.255.0 (/ 24) визначає всю підмережу класу C, тобто 254 адреси, а 255.255.255.255 (/ 32) дозволяє вказати одиничний вузол мережі.
В Інтернеті можна знайти велику кількість онлайн мережевих IP-калькуляторів, які дозволять швидко розрахувати IP-адреси і маски підмереж.

Наведемо конкретний приклад.
1.1. Припустимо, потрібно заборонити доступ по протоколу TCP хостам локальної мережі з діапазону IP-адрес 192.168.100.33 - 192.168.100.46 (14 хостів).
Правило брандмауера для нашого прикладу буде виглядати наступним чином (правило для інтерфейсу локальної мережі Home):

Підмережа 192.168.100.32 з мережевою маскою 255.255.255.240 (/ 28) дозволяє виділити логічну підмережа з 14 робочими адресами (IP-адресу першого хоста - 192.168.100.33, IP-адресу останнього хоста - 192.168.100.46).
 

1.2. Припустимо, що в правилах потрібно використовувати діапазон IP-адрес 192.168.1.65 - 192.168.1.126 (62 хоста). В цьому випадку слід використовувати мережеву маску 255.255.255.192 (/ 26). У правилі міжмережвого екрану як підмережу потрібно вказати адресу 192.168.1.64 і маску 255.255.255.192.

1.3. Припустимо, в правилах потрібно використовувати діапазон IP-адрес 192.168.1.201 - 192.168.1.206 (6 хостів). В цьому випадку слід використовувати мережеву маску 255.255.255.248 (/ 29). У правилі міжмережвого екрану як підмережу потрібно вказати адресу 192.168.1.200 і маску 255.255.255.248.

Примітка

Якщо потрібно використовувати більш широкий діапазон IP-адрес, який не виходить виділити однією маскою (наприклад, 192.168.1.33 - 192.168.1.70), можна використовувати кілька правил міжмережевого екрану: 1-е правило IP-адреса підмережі 192.168.100.32 з маскою 255.255. 255.224, а 2-е правило для IP-адреси підмережі 192.168.100.64 з маскою 255.255.255.248.

Увага! Якщо в наборі правил міжмережевого екрану Ви одночасно використовуєте дозволяючі та забороняючі правила, то в цьому випадку, правила, що дозволяють, повинні розташовуватися вище тих, що забороняють. Спочатку створюйте дозволяючі правила для певних адрес або підмереж, а потім забороняючі.

 
 

Приклад 2. Використання діапазонів TCP / UDP-портів в правилах міжмережевого екрану.

Припустимо, потрібно в домашній мережі заблокувати TCP / UDP-трафік з діапазону портів 27000 - 27050 (даний трафік використовується для роботи клієнта ігрової інтернет-платформи Steam).
Особливість налаштування правил полягатиме в тому, що діапазон портів вказати не можна, а можна встановити тільки умови Більше, ніж і Менше, ніж.

В цьому випадку, заборона TCP-трафіку на порти 27000 - 27050 здійснюється налаштуванням спочатку дозволом звернень на порти з номером менше 27000 (нижня межа діапазону).

І потім блокування трафіку на порти з номером менше 27050, тобто від верхньої межі необхідного інтервалу.
У підсумку налаштування приймає наступний вигляд.
Також блокування можна виконати іншим способом, за допомогою правил такого вигляду:
У цьому випадку, заборона TCP-трафіку на порти 27000 - 27050 здійснюється налаштуванням спочатку дозволу звернень на порти з номером більше 27050 (верхня межа діапазону) і блокування трафіку на порти з номером більше 27000, тобто від нижньої межі необхідного інтервалу.
 

KB-5002

 

Маєте ще запитання? Надіслати запит

Коментарі

0 коментарів

Будь ласка, увійдіть, щоб залишити коментар.