Як працює міжмережевий екран?

Міжмережевий екран призначений для захисту пристроїв локальної мережі від зовнішніх атак. За замовчуванням усі комп’ютери домашньої мережі приховані від користувачів Інтернету за допомогою вбудованого міжмережевого екрану та транслятора адрес NAT.

Механізм трансляції мережевих адрес NAT маскує адреси комп'ютерів локальної мережі за єдиною адресою зовнішнього інтерфейсу. Він працює безпосередньо з вмістом кадру, замінюючи адреси джерела та призначення.

Міжмережевий екран взаємодіє з трафіком після трансляції адрес та маршрутизації, а також контролює та фільтрує трафік відповідно до заданих правил на основі IP-адрес.

Вбудований міжмережевий екран маршрутизатора дозволяє підключення від домашніх інтерфейсів (LAN) до публічних мереж (WAN) і забороняє їх у зворотному напрямку. Налаштування користувача можна використовувати для зміни параметрів безпеки: дозволити або заборонити доступ до певних хостів або мережевих служб.

За замовчуванням інтерфейс, призначений для підключення до зовнішніх мереж або доступу до Інтернету, є public (зовнішнім). Наприклад, такими інтерфейсами є:

— відповідне Ethernet підключення;
— бездротове підключення через 3G/4G/LTE модем USB;
— підключення з автентифікацією на базі протоколів PPPoE/PPTP/L2TP.

Private (локальні, домашні) це інтерфейси домашньої мережі (клієнти, підключені до пристрою Keenetic через Ethernet і Wi-Fi) і інтерфейси гостьової бездротової мережі.

firewall-01_en.png

За замовчуванням маршрутизатор Keenetic приймає мережеві підключення лише з приватних інтерфейсів. З приватних інтерфейсів дозволено встановлювати підключення до загальнодоступних інтерфейсів і самого пристрою для керування та доступу до послуг, увімкнених на маршрутизаторі (FTP, Станція завантаження, мережеве використання USB). Для клієнтів гостьової мережі доступ до роутера та його сервісів заборонено.

З'єднання між приватними інтерфейсами за замовчуванням не дозволено, але доступ можна надати за необхідності.

Забороняється встановлювати підключення з публічних інтерфейсів до будь-яких інших інтерфейсів і самого пристрою.

NOTE: Важливо! За замовчуванням доступ до керування пристроєм (веб-інтерфейс) із зовнішньої мережі заблоковано.

1. Як реалізовано міжмережевий екран?

Для спрощення, міжмережевий екран можна представити як набір попередньо налаштованих і визначених користувачем фільтрів, де визначені користувачем правила мають вищий пріоритет виконання.

Міжмережевий екран оперує з наступними налаштуваннями:

— IP-параметрами (основні критерії правил фільтрації): IP-адреса/підмережа, протокол, номер порту;

— дією цих правил (Заборонити або Дозволити) на пакети мережевого трафіку;

— правилами прив’язки до конкретного інтерфейсу.

Користувальницька частина міжмережевого екрану Keenetic реалізує правила фільтрації, створені для певного інтерфейсу. При створенні правила брандмауера дуже важливо правильно визначити інтерфейс, для якого воно буде створено. Справа в тому, що прив'язка правил до інтерфейсу також визначає напрямок потоку трафіку, до якого ці правила будуть застосовуватися. Правила можна виконувати для вхідного або вихідного трафіку інтерфейсу WAN або LAN.

Вхідний напрям (in) — завжди до пристрою, вихідний (out) — з нього.

Відносно інтерфейсу напрям трафіку визначається як:

— вхідний (in) для трафіку з зовнішньої мережі в локальну на WAN порті, для LAN інтерфейсів, цей напрям вихідний (out);
— трафік з локальної мережі в зовнішню для WAN інтерфейсів є вихідним (out), а для LAN інтерфейсів - вхідним (in).

firewall-02_en.png

Відповідно до наведеної схеми вхідний пакет із зовнішньої мережі в локальну на інтерфейсі WAN має вхідний напрямок для правила міжмережевого екрану. Тим не менш, на інтерфейсі локальної мережі правило контролю цього трафіку є вихідним (вихідним).

NOTE: Важливо! У маршрутизаторах Keenetic правила міжмережевого екрану не базуються на пакетах, а застосовуються в межах сессії (з’єднання). Тому, блокуючи доступ кудись, потрібно заборонити рух пакетів від ініціатора запиту, а не відповіді на ці запити. Наприклад, щоб заборонити доступ через HTTP з локальних хостів до зовнішньої адреси 77.88.99.10, вам потрібно створити одне правило для інтерфейсу локальної мережі, оскільки ініціатор сессії (вхідний трафік) знаходиться в локальній мережі. Слід також зазначити, що якщо сессію вже встановлено, і вже після цього  змінюється конфігурація правил міжмережевого екрану, які застосовується до трафіку в цій сессії, ці правила застосуються до трафіку тільки після завершення поточної сессії -  примусово або в кінці терміну дії сесії.
Щоб новостворене правило працювало належним чином (для скидання поточних/активних підключень), інтерфейс, до якого воно застосовується, слід вимкнути та знову ввімкнути.

2. Налаштування правил міжмережевого екрану

Правила міжмережевого екрану виконуються в тому порядку, у якому вони вказані у списку: спочатку верхнє, а потім нижче. Для будь-якого правила (власне, для будь-якої групи правил або списку контролю доступу) має бути визначений інтерфейс, на якому вони будуть виконуватися.

Кожне правило має визначати:

— мережа джерела та призначення трафіку (IP-адреси хостів або підмереж);

— протокол конфігурації (TCP, UDP, ICMP);

— необхідний номер порту для протоколів TCP і UDP;

— дія, яку потрібно виконати над пакетом: заборонити або дозволити.

 

NOTE: Важливо! У пристроях Keenetic правила міжмережевого екрану обробляються після правил трансляції мережевих адрес (NAT).Тому при створенні правил брандмауера необхідно вказати IP-адресу хоста після трансляції адреси.

3. Налаштування правил з веб-інтерфейсу

Веб-інтерфейс маршрутизатора забезпечує найзручніший спосіб керування правилами міжмережевого екрану. Але є обмеження: правила, створені через веб-інтерфейс, застосовуються лише до вхідного (вхідного) напрямку. Ви не можете налаштувати правила для вихідного (вихідного) напрямку. Створювати правила для будь-якого напрямку можна за допомогою інтерфейс командного рядка (CLI) маршрутизатора Keenetic.

Правила міжмережевого екрану налаштовуються на сторінці «Міжмережевий екран». Коли ви додаєте або редагуєте правило, ви вибираєте дію «Дозволити» або «Заборонити» у вікні «Налаштування» та вказуєте критерії-умови, коли ці дії будуть виконуватися.

TIP: Порада:

— Правило необхідно створювати для інтерфейсу, де відфільтрований трафік ініціює сеанс;

— Під час створення фільтрів дозволяючі правила повинні бути розміщені над забороняючими правилами;

— Під час налаштування правил можна використовувати лише IP-адреси (ви не можете використовувати доменні імена для визначення адреси джерела або призначення).

Інформацію про налаштування правил брандмауера з веб-інтерфейсу дивись в інструкції Міжмережевий екран.

4. Винятки міжмережевого екрану

Деякі додатки (сервіси) в маршрутизаторах Keenetic самостійно змінюють політики безпеки для своєї роботи. До них відносяться, наприклад, сервери VPN і FTP, налаштування переадресації портів в NAT із зовнішнього інтерфейсу на комп'ютер в локальній мережі або сервіс UPnP (механізм, який автоматично відкриває порти для хостів в локальній мережі). Додаткові налаштування від користувача не потрібні, а необхідні дозволи додаються автоматично (наприклад, при налаштуванні переадресації портів в NAT не потрібно створювати додаткові правила в брандмауері, дозволи на доступ створюються автоматично). Але при необхідності ви можете використовувати спеціальні правила, щоб обмежити трафік, який надходить через автоматично відкриті шляхи, залишивши лише необхідний. Загальна логіка таких обмежень: «дозволити те, що вам потрібно, заборонити все інше».
Наприклад, увімкнений сервер PPTP VPN автоматично відкриває вхідний порт TCP/1723 на кожному активному інтерфейсі пристрою. Якщо вам потрібно обмежити підключення з певних адрес в Інтернеті, на зовнішньому інтерфейсі вам слід створити правила, які дозволять протокол TCP на порту призначення 1723 з потрібних адрес джерела, а потім — заборонити протокол TCP на порту 1723 з будь-якого іншого господарі.

Ви можете налаштувати правила брандмауера за допомогою інтерфейсу командного рядка (CLI) Keenetic. Для отримання додаткової інформації дивіться статтю: Налаштування правил міжмережевого екрану з інтерфейсу командного рядка.

TIP: Порада: Ми рекомендуємо ознайомитись з керівництвом 'Firewall rules examples'.

Чи була ця стаття корисною?

16 з 16 вважають статтю корисною