Як вірно налаштувати міжмережевий екран (Firewall) інтернет-центру, якщо в правилах потрібно використовувати діапазони IP-адрес або портів?
Розглянемо на конкретних прикладах особливості налаштування правил брандмауера інтернет-центру серії Keenetic, якщо потрібно використовувати діапазон IP-адрес або діапазон портів протоколу.
Теоретична інформація з описом роботи брандмауера наведена в статті: «Опис роботи з міжмережевим екраном»
При створенні правил Міжмережевого екрана (Firewall) через веб-конфігуратор можна в полі IP-адреса джерела/призначення вказати Підмережа на основі масок підмереж.
Ці налаштування допоможуть використовувати діапазони IP-адрес або портів при створенні правил.
Приклад 1. Використання діапазонів IP-адрес в правилах міжмережевого екрану.
Маска підмережі дозволяє розділити мережу на кілька мереж меншого розміру (на підмережі) з певною кількістю адрес під хости.
Підмережа - це логічне поділ мережі IP. В усіх хостів однієї мережі або підмережі одна й та ж маска підмережі.
Додаткову теоретичну інформацію про масках підмереж можна знайти в статті: «Приклад розрахунку кількості хостів та підмереж на основі IP-адреси та маски»
|
Маска підмережі |
Префікс |
Кількість підмереж |
Кількість робочих адрес для хостів підмережі |
|
255.255.255.128 |
/25 |
2 |
126 |
|
255.255.255.192 |
/26 |
4 |
62 |
|
255.255.255.224 |
/27 |
8 |
30 |
|
255.255.255.240 |
/28 |
16 |
14 |
|
255.255.255.248 |
/29 |
32 |
6 |
|
255.255.255.252 |
/30 |
64 |
2 |
Маска 255.255.255.0 (/ 24) визначає всю підмережу класу C, тобто 254 адреси, а 255.255.255.255 (/ 32) дозволяє вказати одиничний вузол мережі.
В Інтернеті можна знайти велику кількість онлайн мережевих IP-калькуляторів, які дозволять швидко розрахувати IP-адреси і маски підмереж.
Наведемо конкретний приклад.
1.1. Припустимо, потрібно заборонити доступ по протоколу TCP хостам локальної мережі з діапазону IP-адрес 192.168.100.33 - 192.168.100.46 (14 хостів).
Правило брандмауера для нашого прикладу буде виглядати наступним чином (правило для інтерфейсу локальної мережі Home):
1.2. Припустимо, що в правилах потрібно використовувати діапазон IP-адрес 192.168.1.65 - 192.168.1.126 (62 хоста). В цьому випадку слід використовувати мережеву маску 255.255.255.192 (/ 26). У правилі міжмережвого екрану як підмережу потрібно вказати адресу 192.168.1.64 і маску 255.255.255.192.
1.3. Припустимо, в правилах потрібно використовувати діапазон IP-адрес 192.168.1.201 - 192.168.1.206 (6 хостів). В цьому випадку слід використовувати мережеву маску 255.255.255.248 (/ 29). У правилі міжмережвого екрану як підмережу потрібно вказати адресу 192.168.1.200 і маску 255.255.255.248.
Примітка
Якщо потрібно використовувати більш широкий діапазон IP-адрес, який не виходить виділити однією маскою (наприклад, 192.168.1.33 - 192.168.1.70), можна використовувати кілька правил міжмережевого екрану: 1-е правило IP-адреса підмережі 192.168.100.32 з маскою 255.255. 255.224, а 2-е правило для IP-адреси підмережі 192.168.100.64 з маскою 255.255.255.248.
Увага! Якщо в наборі правил міжмережевого екрану Ви одночасно використовуєте дозволяючі та забороняючі правила, то в цьому випадку, правила, що дозволяють, повинні розташовуватися вище тих, що забороняють. Спочатку створюйте дозволяючі правила для певних адрес або підмереж, а потім забороняючі.
Приклад 2. Використання діапазонів TCP / UDP-портів в правилах міжмережевого екрану.
Припустимо, потрібно в домашній мережі заблокувати TCP / UDP-трафік з діапазону портів 27000 - 27050 (даний трафік використовується для роботи клієнта ігрової інтернет-платформи Steam).
Особливість налаштування правил полягатиме в тому, що діапазон портів вказати не можна, а можна встановити тільки умови Більше, ніж і Менше, ніж.
В цьому випадку, заборона TCP-трафіку на порти 27000 - 27050 здійснюється налаштуванням спочатку дозволом звернень на порти з номером менше 27000 (нижня межа діапазону).
KB-5002
Коментарі
Будь ласка, увійдіть, щоб залишити коментар.