Для захисту вашої домашньої мережі від атак та вторгнень з Інтернет маршрутизатори Keenetic мають міжмережевий екран, який увімкнений за замовчуванням.
У більшості випадків налаштування за замовчуванням достатні для безпеки, і додаткові налаштування міжмережевого екрану не потрібні. Але якщо є будь які специфічні потреби, Keenetic надає гнучкі можливості для налаштувань безпеки для дозволу або заборони доступу до визначених пристроїв або мережевих сервісів.
NOTE: Важливо! За замовчуванням ваша домашня мережа захищена від зовнішніх атак, а доступ до керування роутером (веб-інтерфейс) з боку Інтернету заблокований.
Міжмережевий екран можна розглядати як набір попередньо налаштованих і визначених користувачем фільтрів, при цьому правила, встановлені користувачем, мають вищий пріоритет.
Правила міжмережевого екрану виконуються в тому порядку, в якому вони вказані в списку: першим є верхнє, а потім вниз по списку. Для будь-якого правила має бути визначений інтерфейс (з’єднання), для якого воно буде виконуватися.
У кожному правилі має бути визначено:
- Мережа джерела трафіку та його призначення (IP-адреси хостів або підмереж);
- Протокол, для якого працюватиме правило (TCP, UDP, ICMP тощо);
- Для протоколів TCP і UDP необхідно вказати номер порту;
- Дія, яку потрібно виконати з пакетом: Заборонити або Дозволити.
NOTE: Важливо! У маршрутизаторах Keenetic правила брандмауера обробляються після правил трансляції мережевих адрес (NAT). Тому, створюючи правила брандмауера, слід вказати IP-адресу хоста після трансляції адреси.
Веб-конфігуратор Keenetic пропонує зручний спосіб керування правилами мфжмережевого екрану.
NOTE: Важливо! Правила, створені за допомогою веб-конфігуратора, застосовуються лише до вхідного трафіку пуюлічного (WAN) або локального (LAN) інтерфейсу.
Для будь-якого напрямку правила можна створити через інтерфейс командного рядка (CLI) маршрутизатора.
Налаштування правил міжмережевого екрану виконується на сторінці «Міжмережевий екран».
Щоб додати правило міжмережевого екрану, виберіть зі списку інтерфейс, де буде відстежуватися вхідний трафік, і натисніть «Додати правило». Правила застосовуються в тому порядку, в якому вони розташовані в списку. Щоб змінити порядок правил, перетягніть рядки в таблиці.
NOTE: Важливо! Необхідно створити правила для інтерфейсу, для якого трафік, що фільтрується, є вхідним (ініціюючим сесію).
У вікні «Правило міжмережевого екрану», що з’явиться, виберіть дію для вхідних пакетів та вкажіть умови, за яких ця дія має виконуватися. У нашому прикладі для інтерфейсу "Домашня мережа", interface, ми створимо правило «Заборонити», де ми вкажемо вихідну IP-адресу (IP-адресу комп’ютера, доступ якого буде заборонено). В результаті це правило заблокує доступ до Інтернету лише для одного хоста в локальній мережі з IP-адресою 192.168.1.35.
У полі «Дія» виберіть дію — «Дозволити» трафік або «Заборонити», а потім вкажіть критерії та умови, з якими будуть виконуватися ці дії.
У полі «Розклад роботи» можна додати розклад, відповідного якого це правило буде працювати.
NOTE: Важливо! При створенні забороняючих правил дозволяючі правила повинні бути розміщені вище забороняючих.
У нашому прикладі, для інтерфейсу домашньої мережі було створено правило «Блокування 192.168.1.35»:
TIP: Порада: Ми рекомендуємо вам ознайомитись з інструкціями:
Починаючи з KeeneticOS 2.14, веб-конфігуратор реалізував групове копіювання, переміщення та видалення правил міжмережевого екрану: Копіювання, переміщення та видалення декількох правил міжмережевого екрану
Як працює міжмережевий екран?
Приклади правил міжмережвого екрану.
Коли потрібно використовувати правила переадресації портів, а коли правила міжмережевого екрану?