Щоб захистити вашу локальну мережу від атак і зловмисників з Інтернету, маршрутизатори Keenetic мають міжмережевий екран, увімкнений за замовчуванням. У більшості випадків налаштувань за замовчуванням достатньо для безпеки, і немає необхідності додатково налаштовувати міжмережевий екран. Але якщо це необхідно для вирішення певних проблем, будь-який роутер Keenetic надає гнучкі можливості налаштування правил міжмережевого екрану.
У цій статті ми наведемо практичні приклади використання правил міжмережевого екрану в Keenetic. Деякі теоретичні відомості та детальний опис міжмережевого екрану в роутерах Keenetic можна знайти в статті Як працює міжмережевий екран?.
NOTE: Важливо! Брандмауер не контролюватиме існуючу сесію, якщо сесію вже встановлено, а потім створюється правило брандмауера щодо трафіку в цій сесії. Правило почне діяти після розриву поточної сесії — примусового або після закінчення терміну дії сесії.
Для правильної роботи новоствореного правила (для скидання поточних/активних з’єднань) ви можете вимкнути та знову ввімкнути відповідний мережевий інтерфейс на своєму Keenetic.
Розглянемо наступні приклади:
2. Заблокувати доступ до Інтернету лише для одного комп’ютера в локальній мережі.
3.Заблокувати доступ до певного сайту з локальної мережі.
4. Дозволити певному комп’ютеру локальної мережі доступ лише до одного вказаного веб-сайту.
5. Дозволити доступ до Інтернету з локальної мережі лише за вказаними протоколами (сервісами).
6. Дозволити дистанційне керування маршрутизатором Keenetic.
7. Заблокувати доступ до Keenetic з IP-адрес визначеної підмережі Інтернету або зовнішньої мережі.
8. Дозволити доступ по RDP лише з певної зовнішньої IP-адреси.
9. Заблокувати для певних хостів вашої локальної мережі доступ до веб-інтерфейсу маршрутизатора
Ми налаштуємо правила брандмауера через веб-інтерфейс Keenetic.Це можна зробити на сторінці Міжмережевий екран.
TIP: Примітка: Щоб заблокувати доступ до Інтернету, ми визначимо протокол TCP у правилах брандмауера, оскільки Інтернет базується на мережевих протоколах передачі даних TCP/IP.
Приклад 1. Дозволити доступ до Інтернету лише для одного комп’ютера в локальній мережі та заблокувати доступ для всіх інших.
У цьому прикладі вам потрібно створити два правила для інтерфейсу «Домашня мережа».
Спочатку ми створимо правило дозволу, у якому ви визначите вихідну IP-адресу (IP-адресу комп’ютера, якому буде дозволено доступ) і тип протоколу TCP.
Потім ми створимо забороняюче правило, де визначимо вихідну IP-адресу як підмережу (192.168.1.0 з маскою 255.255.255.0) і тип протоколу TCP.
NOTE: Важливо!Це правило слід налаштувати з комп’ютера, який має доступ до Інтернету.В іншому випадку ви втратите доступ до веб-інтерфейсу Keenetic після створення згаданих вище правил.Якщо це сталося, вручну призначте дозволену IP-адресу в налаштуваннях мережевого адаптера та підключіться до веб-інтерфейсу.
Example 2. Заблокувати доступ до Інтернету лише для одного комп’ютера в локальній мережі.
У цьому прикладі нам потрібно створити одне правило для «Домашньої мережі».Ми створимо правило заборони, де встановимо IP-адресу джерела (IP-адресу комп’ютера, доступ до якого буде заборонено) і тип протоколу TCP.
Example 3. Заблокувати доступ до певного сайту з локальної мережі.
Цей приклад заблокує всім комп’ютерам у локальній мережі доступ до веб-сайту Вікіпедії wikipedia.org.
NOTE: Важлива! Доменні імена не можна використовувати в налаштуваннях міжмережевого екрану маршрутизаторів Keenetic, можна встановлювати лише IP-адреси.
Перш ніж налаштовувати правила, вам потрібно дізнатися IP-адресу веб-сайту, який ви хочете використовувати. Один сайт може мати кілька різних IP-адрес (зазвичай це стосується великих ресурсів, таких як amazon.com, google.com, facebook.com тощо).
Першим способом дізнатися IP-адресу веб-сайту є використання спеціальної команди «nslookup <назва веб-сайту>».
Наприклад, в командному рядку операційної системи ми виконаємо команду:
nslookup wikipedia.org
Результат наведеної вище команди дозволить вам побачити IP-адреси веб-сайту (у нашому прикладі wikipedia.org використовує лише одну IP-адресу, 91.198.174.192).
Інший спосіб дізнатися IP-адресу сайту - це скористатися одним із спеціальних онлайн-сервісів (наприклад, 2ip.io). У спеціальному полі вам потрібно буде вказати назву сайту, який вас цікавить, і натиснути кнопку 'Check'. Після цього ви побачите всі IP-адреси, на яких працює сайт.
Тепер, коли у вас є IP-адреса веб-сайту, ви можете почати створювати правила брандмауера.
NOTE: Важливо! Веб-сайти можуть працювати не тільки на HTTP, але й на HTTPS.
Оскільки веб-сайт використовує одну IP-адресу в цьому прикладі, давайте створимо два правила для «Домашньої мережі», щоб блокувати трафік за протоколами: одне для HTTP та одне для HTTPS.Створіть правила заборони, щоб указати IP-адресу призначення (IP-адресу сайту, до якого буде заборонено доступ) і тип протоколу (HTTP і HTTPS).
Більше інформації можна знайти в статті How to block access to a specific site.
Приклад 4. Дозволити певному локальному комп’ютеру доступ лише до одного вказаного веб-сайту.
У цьому прикладі давайте дозволимо локальному комп’ютеру з IP-адресою 192.168.0.31 доступ лише до веб-сайту Wikipedia.org.
Для цього комп’ютера буде заблоковано доступ до інших веб-сайтів.
Спочатку давайте знайдемо IP-адресу потрібного сайту. У нашому прикладі це wikipedia.org, а його IP-адреса 91.198.174.192. Детальну інформацію про пошук IP-адреси веб-сайту можна знайти в прикладі 3 цієї статті.
У цьому прикладі вам потрібно створити три правила для «Домашньої мережі». Спочатку ми створимо правило дозволу, яке визначає IP-адресу джерела (IP-адресу комп’ютера, для якого ви хочете надати доступ), IP-адресу призначення (IP-адресу веб-сайту, до якого ви хочете надати доступ),і типи протоколів HTTP і HTTPS.
Потім ми створимо правило заборони, у якому вкажемо вихідну IP-адресу (IP-адресу комп’ютера, до якої буде заборонено доступ) і тип протоколу TCP (для блокування доступу до Інтернету).
Приклад 5. Дозволити доступ до Інтернету з локальної мережі лише за вказаними протоколами (сервісами).
Давайте дозволимо локальним комп’ютерам отримувати доступ до Інтернету лише через HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS і заблокуємо весь інший трафік.
У цьому прикладі вам потрібно створити правила для «Домашньої мережі». Перш за все ми створимо правила дозволу, де в полях «IP адреса джерела» і «IP адреса призначення» вкажемо значення «Будь яка», а в полі «Протокол» виберемо необхідний тип протоколу (сервісу) зі списку. Потім ми створюємо два правила заборони, де встановлюємо значення «Будь-який» у полях «IP-адреса джерела» та «IP-адреса призначення», а в полі «Протокол» — значення TCP і UDP для блокування доступу до Інтернету.
NOTE: Важливо! Для коректної роботи Інтернету необхідна служба доменних імен (TCP/53, UDP/53), яка дозволяє конвертувати символьні імена сайтів/доменів в IP-адреси (і навпаки).
У нашому прикладі ми маємо наступний набір правил міжмережевого екрану:
Приклад 6. Дозволити дистанційне керування маршрутизатором Keenetic.
NOTE: Важливо! Доступ до маршрутизатора Keenetic (його веб-інтерфейсу) із зовнішньої мережі (Інтернету) заблоковано за замовчуванням. Це реалізовано для безпеки пристрою та локальної мережі.
Доступ до пристрою з Інтернету можливий за наявності публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який маршрутизатор підключається до глобальної мережі. Щоб отримати доступ до маршрутизатора з приватною IP-адресою, необхідно скористатися сервісом KeenDNS.
У цьому прикладі ми створимо правило брандмауера, щоб забезпечити дистанційне керування маршрутизатором з Інтернету (зокрема, для підключення до веб-інтерфейсу пристрою).
Ми також дозволимо запити ICMP ping з Інтернету (це дозволить вам перевірити доступність пристрою в мережі).
Для підвищення безпеки ми дозволимо дистанційне керування та пінг із зовнішньої мережі лише з визначеної загальнодоступної IP-адреси (у нашому прикладі з IP-адреси 93.94.95.96).
NOTE: Важливо! Якщо ви використовуєте загальнодоступну IP-адресу, ми не рекомендуємо надавати доступ до веб-інтерфейсу Keenetic і дозволяти запити ping для всіх користувачів із загальнодоступної (глобальної) мережі.
У цьому прикладі нам потрібно створити правила для інтерфейсу зовнішньої мережі «Провайдер». Мається на увазі інтерфейс, через який ви виходите в Інтернет (це може бути PPPoE, PPTP, USB LTE тощо).
Ми створимо правило дозволу, у якому заповнимо поле «ІР-адреса джерела» (загальнодоступна IP-адреса комп’ютера, з якого буде дозволено доступ з Інтернету), а в полі «Протокол» виберіть «TCP/80 (HTTP)»'.
Тоді ми створимо подібне правило, але для протоколу ICMP (для утиліти ping).
Таким чином, пінгувати роутер Keenetic (через ICMP) і отримати доступ до його веб-інтерфейсу (через HTTP) можна буде з Інтернету лише з певної IP-адреси.
NOTE: Важливо! У веб-браузері вам потрібно використовувати загальнодоступну IP-адресу WAN Keenetic у глобальній мережі, щоб отримати доступ до його веб-інтерфейсу (її можна побачити у веб-інтерфейсі Keenetic на стартовій сторінці «Системний монітор» у розділі «Інтернет»)на панелі «Докладніше» в рядку «IP-адреса». Адреса в браузері має починатися з http://, тобто http://IP-адреса (наприклад, http://89.88.87.86).
Приклад 7. Заблокувати доступ до Keenetic з IP-адрес визначеної підмережі Інтернету або зовнішньої мережі.
Уявіть, що ви виявили часті спроби доступу (атаки) до порту WAN маршрутизатора з невідомих IP-адрес з Інтернету. Наприклад, спроби підключення надходять з різних IP-адрес, але всі вони належать до однієї підмережі 115.230.121.x.
У цьому випадку на зовнішньому інтерфейсі «Провайдер» Keenetic (або іншому, через який здійснюється вихід в Інтернет) необхідно заблокувати доступ до порту WAN для IP-адрес підмережі 115.230.121.x.
Давайте створимо правила заборони для трафіку TCP/UDP/ICMP(ping), де ми повинні встановити значення «Підмережа» як «IP адреса джерела» і вказати адресу та маску підмережі. Якщо використовується маска підмережі з префіксом /24 (255.255.255.0), IP-адреса підмережі має закінчуватися на 0 (у цьому прикладі це 115.230.121.0).
Приклад 8. Дозволити доступ по RDP лише з певної зовнішньої IP-адреси.
Припустімо, що маршрутизатор Keenetic використовує правило переадресації портів, щоб дозволити підключення з Інтернету до домашнього комп’ютера через RDP (TCP/3389).Однак в цьому випадку порт буде відкритий для будь-якої IP-адреси з Інтернету. Рекомендується дозволяти доступ RDP із певної зовнішньої IP-адреси лише з міркувань безпеки. Це можна зробити за допомогою правил брандмауера на зовнішньому інтерфейсі, через який здійснюється доступ до Інтернету.
Створіть правило дозволу для доступу з певної IP-адреси на TCP-порт 3389, а потім створіть правило заборони для всіх IP-адрес на TCP-порт 3389.У нашому прикладі дозволені лише підключення з публічної IP-адреси 93.94.95.96.
NOTE: Важливо! Якщо ви налаштували переадресування порту призначення в правилі переадресації (наприклад, від 4389 до 3389), у правилі брандмауера ви повинні вказати фактичний номер порту призначення, який використовується на сервері в локальній мережі, тобто 3389.
Приклад 9. Заблокувати певним хостам вашої локальної мережі доступ до веб-інтерфейсу маршрутизатора
Якщо вам потрібно заблокувати доступ до веб-інтерфейсу Keenetic за адресами 192.168.1.1 та my.keenetic.net для деяких пристроїв у вашій локальній мережі, ви можете зробити це за допомогою забороняючих правил міжмережевого екрану, створених на інтерфейсі LAN (який є «Домашньою мережею»)).
Розглянемо приклад блокування доступу до веб-інтерфейсу роутера для пристрою з IP-адресою 192.168.1.143.
У нашому прикладі ми додали два правила заборони. Адреса джерела — це IP-адреса вузла локальної мережі, якому ми хочемо заблокувати доступ до веб-інтерфейсу маршрутизатора. Зауважте, що в правилі заборони доступу до 192.168.1.1 порт призначення має бути TCP/80, а в правилі заборони доступу до my.keenetic.net адресою призначення має бути 78.47.125.180 (що є IP адресою прив’язаною до доменного імені my.keenetic.net), а порт TCP/443 (оскільки доступ до доменного імені автоматично перенаправляється на протокол HTTPS).
Ми показали приклад блокування доступу одного хоста до веб-інтерфейсу маршрутизатора з локальної мережі, але так само можна створити правила для інших хостів.
TIP: Примітка
Питання: чи можна заблокувати трафік лише між двома хостами в локальній мережі за допомогою правил міжмережевого екрану?
Відповідь: міжмережевий екран не може блокувати трафік між двома хостами в одній локальній мережі, оскільки хости знаходяться в одному сегменті, і зв’язок між ними відбувається на другому рівні моделі OSI. Міжмережевий екран працює на рівні 3 моделі OSI. Трафік можна заблокувати лише між хостами в різних сегментах мережі, увімкнувши функцію «isolate-private» (блокує весь зв’язок між сегментами), або використовуючи окремі правила брандмауера, блокуючи доступ лише для деяких хостів.