Приклади використання правил міжмережевого екрану

Щоб захистити вашу локальну мережу від атак і зловмисників з Інтернету, маршрутизатори Keenetic мають міжмережевий екран, увімкнений за замовчуванням. У більшості випадків налаштувань за замовчуванням достатньо для безпеки, і немає необхідності додатково налаштовувати міжмережевий екран. Але якщо це необхідно для вирішення певних проблем, будь-який роутер Keenetic надає гнучкі можливості налаштування правил міжмережевого екрану.

У цій статті ми наведемо практичні приклади використання правил міжмережевого екрану в Keenetic. Деякі теоретичні відомості та детальний опис міжмережевого екрану в роутерах Keenetic можна знайти в статті Як працює міжмережевий екран?.

NOTE: Важливо! Брандмауер не контролюватиме існуючу сесію, якщо сесію вже встановлено, а потім створюється правило брандмауера щодо трафіку в цій сесії. Правило почне діяти після розриву поточної сесії — примусового або після закінчення терміну дії сесії.

Для правильної роботи новоствореного правила (для скидання поточних/активних з’єднань) ви можете вимкнути та знову ввімкнути відповідний мережевий інтерфейс на своєму Keenetic.

Розглянемо наступні приклади:

1. Дозволити доступ до Інтернету лише для одного комп’ютера в локальній мережі та заблокувати доступ для всіх інших.

2. Заблокувати доступ до Інтернету лише для одного комп’ютера в локальній мережі.

3.Заблокувати доступ до певного сайту з локальної мережі.

4. Дозволити певному комп’ютеру локальної мережі доступ лише до одного вказаного веб-сайту.

5. Дозволити доступ до Інтернету з локальної мережі лише за вказаними протоколами (сервісами).

6. Дозволити дистанційне керування маршрутизатором Keenetic.

7. Заблокувати доступ до Keenetic з IP-адрес визначеної підмережі Інтернету або зовнішньої мережі.

8. Дозволити доступ по RDP лише з певної зовнішньої IP-адреси.

9. Заблокувати для певних хостів вашої локальної мережі доступ до веб-інтерфейсу маршрутизатора

Ми налаштуємо правила брандмауера через веб-інтерфейс Keenetic.Це можна зробити на сторінці Міжмережевий екран.

TIP: Примітка: Щоб заблокувати доступ до Інтернету, ми визначимо протокол TCP у правилах брандмауера, оскільки Інтернет базується на мережевих протоколах передачі даних TCP/IP.

Приклад 1. Дозволити доступ до Інтернету лише для одного комп’ютера в локальній мережі та заблокувати доступ для всіх інших.

У цьому прикладі вам потрібно створити два правила для інтерфейсу «Домашня мережа».

Спочатку ми створимо правило дозволу, у якому ви визначите вихідну IP-адресу (IP-адресу комп’ютера, якому буде дозволено доступ) і тип протоколу TCP.

mceclip0.png

Потім ми створимо забороняюче правило, де визначимо вихідну IP-адресу як підмережу (192.168.1.0 з маскою 255.255.255.0) і тип протоколу TCP.

mceclip1.png

NOTE: Важливо!Це правило слід налаштувати з комп’ютера, який має доступ до Інтернету.В іншому випадку ви втратите доступ до веб-інтерфейсу Keenetic після створення згаданих вище правил.Якщо це сталося, вручну призначте дозволену IP-адресу в налаштуваннях мережевого адаптера та підключіться до веб-інтерфейсу.

Example 2. Заблокувати доступ до Інтернету лише для одного комп’ютера в локальній мережі.

У цьому прикладі нам потрібно створити одне правило для «Домашньої мережі».Ми створимо правило заборони, де встановимо IP-адресу джерела (IP-адресу комп’ютера, доступ до якого буде заборонено) і тип протоколу TCP.

mceclip2.png

Example 3. Заблокувати доступ до певного сайту з локальної мережі.

Цей приклад заблокує всім комп’ютерам у локальній мережі доступ до веб-сайту Вікіпедії wikipedia.org.

NOTE: Важлива! Доменні імена не можна використовувати в налаштуваннях міжмережевого екрану маршрутизаторів Keenetic, можна встановлювати лише IP-адреси.

Перш ніж налаштовувати правила, вам потрібно дізнатися IP-адресу веб-сайту, який ви хочете використовувати. Один сайт може мати кілька різних IP-адрес (зазвичай це стосується великих ресурсів, таких як amazon.com, google.com, facebook.com тощо).

Першим способом дізнатися IP-адресу веб-сайту є використання спеціальної команди «nslookup <назва веб-сайту>».
Наприклад, в командному рядку операційної системи ми виконаємо команду:

nslookup wikipedia.org


nslookup_en.png

Результат наведеної вище команди дозволить вам побачити IP-адреси веб-сайту (у нашому прикладі wikipedia.org використовує лише одну IP-адресу, 91.198.174.192).

Інший спосіб дізнатися IP-адресу сайту - це скористатися одним із спеціальних онлайн-сервісів (наприклад, 2ip.io). У спеціальному полі вам потрібно буде вказати назву сайту, який вас цікавить, і натиснути кнопку 'Check'. Після цього ви побачите всі IP-адреси, на яких працює сайт.

2ip_en.png

Тепер, коли у вас є IP-адреса веб-сайту, ви можете почати створювати правила брандмауера.

NOTE: Важливо! Веб-сайти можуть працювати не тільки на HTTP, але й на HTTPS.

Оскільки веб-сайт використовує одну IP-адресу в цьому прикладі, давайте створимо два правила для «Домашньої мережі», щоб блокувати трафік за протоколами: одне для HTTP та одне для HTTPS.Створіть правила заборони, щоб указати IP-адресу призначення (IP-адресу сайту, до якого буде заборонено доступ) і тип протоколу (HTTP і HTTPS).

mceclip3.png

mceclip4.png

Більше інформації можна знайти в статті How to block access to a specific site.

Приклад 4. Дозволити певному локальному комп’ютеру доступ лише до одного вказаного веб-сайту.

У цьому прикладі давайте дозволимо локальному комп’ютеру з IP-адресою 192.168.0.31 доступ лише до веб-сайту Wikipedia.org.

Для цього комп’ютера буде заблоковано доступ до інших веб-сайтів.

Спочатку давайте знайдемо IP-адресу потрібного сайту. У нашому прикладі це wikipedia.org, а його IP-адреса 91.198.174.192. Детальну інформацію про пошук IP-адреси веб-сайту можна знайти в прикладі 3 цієї статті.

У цьому прикладі вам потрібно створити три правила для «Домашньої мережі». Спочатку ми створимо правило дозволу, яке визначає IP-адресу джерела (IP-адресу комп’ютера, для якого ви хочете надати доступ), IP-адресу призначення (IP-адресу веб-сайту, до якого ви хочете надати доступ),і типи протоколів HTTP і HTTPS.

mceclip5.png

mceclip6.png

Потім ми створимо правило заборони, у якому вкажемо вихідну IP-адресу (IP-адресу комп’ютера, до якої буде заборонено доступ) і тип протоколу TCP (для блокування доступу до Інтернету).

mceclip7.png

Приклад 5. Дозволити доступ до Інтернету з локальної мережі лише за вказаними протоколами (сервісами).

Давайте дозволимо локальним комп’ютерам отримувати доступ до Інтернету лише через HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS і заблокуємо весь інший трафік.

У цьому прикладі вам потрібно створити правила для «Домашньої мережі». Перш за все ми створимо правила дозволу, де в полях «IP адреса джерела» і «IP адреса призначення» вкажемо значення «Будь яка», а в полі «Протокол» виберемо необхідний тип протоколу (сервісу) зі списку. Потім ми створюємо два правила заборони, де встановлюємо значення «Будь-який» у полях «IP-адреса джерела» та «IP-адреса призначення», а в полі «Протокол» — значення TCP і UDP для блокування доступу до Інтернету.

NOTE: Важливо! Для коректної роботи Інтернету необхідна служба доменних імен (TCP/53, UDP/53), яка дозволяє конвертувати символьні імена сайтів/доменів в IP-адреси (і навпаки).

У нашому прикладі ми маємо наступний набір правил міжмережевого екрану:

ex-firewall-09_en.png

Приклад 6. Дозволити дистанційне керування маршрутизатором Keenetic.

NOTE: Важливо! Доступ до маршрутизатора Keenetic (його веб-інтерфейсу) із зовнішньої мережі (Інтернету) заблоковано за замовчуванням. Це реалізовано для безпеки пристрою та локальної мережі.

Доступ до пристрою з Інтернету можливий за наявності публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який маршрутизатор підключається до глобальної мережі. Щоб отримати доступ до маршрутизатора з приватною IP-адресою, необхідно скористатися сервісом KeenDNS.

У цьому прикладі ми створимо правило брандмауера, щоб забезпечити дистанційне керування маршрутизатором з Інтернету (зокрема, для підключення до веб-інтерфейсу пристрою).

Ми також дозволимо запити ICMP ping з Інтернету (це дозволить вам перевірити доступність пристрою в мережі).

Для підвищення безпеки ми дозволимо дистанційне керування та пінг із зовнішньої мережі лише з визначеної загальнодоступної IP-адреси (у нашому прикладі з IP-адреси 93.94.95.96).

NOTE: Важливо! Якщо ви використовуєте загальнодоступну IP-адресу, ми не рекомендуємо надавати доступ до веб-інтерфейсу Keenetic і дозволяти запити ping для всіх користувачів із загальнодоступної (глобальної) мережі.

У цьому прикладі нам потрібно створити правила для інтерфейсу зовнішньої мережі «Провайдер». Мається на увазі інтерфейс, через який ви виходите в Інтернет (це може бути PPPoE, PPTP, USB LTE тощо).

Ми створимо правило дозволу, у якому заповнимо поле «ІР-адреса джерела» (загальнодоступна IP-адреса комп’ютера, з якого буде дозволено доступ з Інтернету), а в полі «Протокол» виберіть «TCP/80 (HTTP)»'.

mceclip8.png

Тоді ми створимо подібне правило, але для протоколу ICMP (для утиліти ping).

mceclip10.png

Таким чином, пінгувати роутер Keenetic (через ICMP) і отримати доступ до його веб-інтерфейсу (через HTTP) можна буде з Інтернету лише з певної IP-адреси.

NOTE: Важливо! У веб-браузері вам потрібно використовувати загальнодоступну IP-адресу WAN Keenetic у глобальній мережі, щоб отримати доступ до його веб-інтерфейсу (її можна побачити у веб-інтерфейсі Keenetic на стартовій сторінці «Системний монітор» у розділі «Інтернет»)на панелі «Докладніше» в рядку «IP-адреса». Адреса в браузері має починатися з http://, тобто http://IP-адреса (наприклад, http://89.88.87.86).

Приклад 7. Заблокувати доступ до Keenetic з IP-адрес визначеної підмережі Інтернету або зовнішньої мережі.

Уявіть, що ви виявили часті спроби доступу (атаки) до порту WAN маршрутизатора з невідомих IP-адрес з Інтернету. Наприклад, спроби підключення надходять з різних IP-адрес, але всі вони належать до однієї підмережі 115.230.121.x.

У цьому випадку на зовнішньому інтерфейсі «Провайдер» Keenetic (або іншому, через який здійснюється вихід в Інтернет) необхідно заблокувати доступ до порту WAN для IP-адрес підмережі 115.230.121.x.

Давайте створимо правила заборони для трафіку TCP/UDP/ICMP(ping), де ми повинні встановити значення «Підмережа» як «IP адреса джерела» і вказати адресу та маску підмережі. Якщо використовується маска підмережі з префіксом /24 (255.255.255.0), IP-адреса підмережі має закінчуватися на 0 (у цьому прикладі це 115.230.121.0).

mceclip11.png

mceclip12.png

mceclip13.png

Приклад 8. Дозволити доступ по RDP лише з певної зовнішньої IP-адреси.

Припустімо, що маршрутизатор Keenetic використовує правило переадресації портів, щоб дозволити підключення з Інтернету до домашнього комп’ютера через RDP (TCP/3389).Однак в цьому випадку порт буде відкритий для будь-якої IP-адреси з Інтернету. Рекомендується дозволяти доступ RDP із певної зовнішньої IP-адреси лише з міркувань безпеки. Це можна зробити за допомогою правил брандмауера на зовнішньому інтерфейсі, через який здійснюється доступ до Інтернету.

Створіть правило дозволу для доступу з певної IP-адреси на TCP-порт 3389, а потім створіть правило заборони для всіх IP-адрес на TCP-порт 3389.У нашому прикладі дозволені лише підключення з публічної IP-адреси 93.94.95.96.

mceclip14.png

mceclip15.png

mceclip16.png

NOTE: Важливо! Якщо ви налаштували переадресування порту призначення в правилі переадресації (наприклад, від 4389 до 3389), у правилі брандмауера ви повинні вказати фактичний номер порту призначення, який використовується на сервері в локальній мережі, тобто 3389.

Приклад 9. Заблокувати певним хостам вашої локальної мережі доступ до веб-інтерфейсу маршрутизатора

Якщо вам потрібно заблокувати доступ до веб-інтерфейсу Keenetic за адресами 192.168.1.1 та my.keenetic.net для деяких пристроїв у вашій локальній мережі, ви можете зробити це за допомогою забороняючих правил міжмережевого екрану, створених на інтерфейсі LAN (який є «Домашньою мережею»)).

Розглянемо приклад блокування доступу до веб-інтерфейсу роутера для пристрою з IP-адресою 192.168.1.143.

mceclip17.png

У нашому прикладі ми додали два правила заборони. Адреса джерела — це IP-адреса вузла локальної мережі, якому ми хочемо заблокувати доступ до веб-інтерфейсу маршрутизатора. Зауважте, що в правилі заборони доступу до 192.168.1.1 порт призначення має бути TCP/80, а в правилі заборони доступу до my.keenetic.net адресою призначення має бути 78.47.125.180 (що є IP адресою прив’язаною до доменного імені my.keenetic.net), а порт TCP/443 (оскільки доступ до доменного імені автоматично перенаправляється на протокол HTTPS).

Ми показали приклад блокування доступу одного хоста до веб-інтерфейсу маршрутизатора з локальної мережі, але так само можна створити правила для інших хостів.

TIP: Примітка

Питання: чи можна заблокувати трафік лише між двома хостами в локальній мережі за допомогою правил міжмережевого екрану?

Відповідь: міжмережевий екран не може блокувати трафік між двома хостами в одній локальній мережі, оскільки хости знаходяться в одному сегменті, і зв’язок між ними відбувається на другому рівні моделі OSI. Міжмережевий екран працює на рівні 3 моделі OSI. Трафік можна заблокувати лише між хостами в різних сегментах мережі, увімкнувши функцію «isolate-private» (блокує весь зв’язок між сегментами), або використовуючи окремі правила брандмауера, блокуючи доступ лише для деяких хостів.

Чи була ця стаття корисною?

70 з 92 вважають статтю корисною