Skip to main content

Руководство пользователя

Примеры использования правил межсетевого экрана

Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.

В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.

Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье "Как реализован межсетевой экран?".

Важно

При проверке работоспособности правила нужно учитывать следующее: когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии – принудительного или по истечении времени жизни сессии.

Для корректной работы вновь созданного правила (для сброса текущих / активных соединений), интерфейс интернет-центра, к которому оно применимо, следует отключить и включить снова.

Рассмотрим следующие примеры:

  1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ

  2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети

  3. Заблокировать доступ к определенному веб-сайту из локальной сети

  4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту

  5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам)

  6. Разрешить удаленное управление интернет-центром

  7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети

  8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса

  9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети

Настройку правил сетевого экрана будем производить через веб-конфигуратор интернет-центра. Сделать это можно на странице "Межсетевой экран".

Примечание

Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.

  1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ

    В данном примере нужно создать два правила для интерфейса "Домашняя сеть".

    Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.

    ex-firewall-01_en.png

    Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.

    ex-firewall-02_en.png

    Важно

    Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.

  2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети

    В данном примере нужно создать одно правило для интерфейса "Домашняя сеть". Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.

    ex-firewall-03_en.png

  3. Заблокировать доступ к определенному веб-сайту из локальной сети

    В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org

    Важно

    В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.

    В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).

    Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>.

    Например, в командной строке операционной системы выполним команду:

    nslookup ru.wikipedia.org
    ex-firewall-04_en.png

    Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт ru.wikipedia.org использует один IP-адрес 91.198.174.192).

    Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт.

    ex-firewall-05_en.png

    Теперь, выяснив IP-адрес(а) веб-сайта, можно приступать к созданию правил межсетевого экрана.

    Важно

    Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.

    Так как в нашем примере сайт использует один IP-адрес, создадим для интерфейса "Домашняя сеть" два правила для блокировки трафика по протоколам: первое для HTTP и второе для HTTPS. Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).

    ex-firewall-06_en.png
    ex-firewall-07_en.png

    Дополнительную информацию вы найдете в инструкции "Как заблокировать доступ к определенному сайту?".

  4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту

    В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.0.31 доступ только к веб-сайту свободной энциклопедии Википедия ru.wikipedia.org

    Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.

    Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной инструкции.

    В данном примере нужно создать три правила для интерфейса "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.

    ex-firewall-08_en.png
    ex-firewall-09_en.png

    Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета).

    ex-firewall-10_en.png

  5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам)

    Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTPHTTPSFTPSMTPPOP3IMAPDNS, а весь остальной трафик заблокируем.

    В данном примере нужно создать правила для интерфейса локальной сети "Домашняя сеть". Сначала создаем разрешающие правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" выбираем из списка нужный тип протокола (сервиса или службы). А затем создаем два запрещающих правила, в которых указываем значение "Любой" в полях "IP-адрес источника" и "IP-адрес назначения", а в поле "Протокол" значение TCP и UDP для блокирования доступа в Интернет.

    Важно

    Для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).

    В нашем примере получился следующий набор правил сетевого экрана:

    ex-firewall-11_en.png

  6. Разрешить удаленное управление интернет-центром

    Важно

    По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.

    Доступ к устройству из Интернета возможен при наличии белого публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети, или серого IP-адреса с помощью сервиса KeenDNS.

    В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).

    В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).

    В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).

    Важно

    При использовании белого публичного IP-адреса без необходимости не рекомендуем открывать доступ к веб-конфигуратору интернет-центра и разрешать выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.

    В нашем примере нужно создать правила для интерфейса внешней сети "Провайдер". Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).

    Создаем разрешающее правило, в котором указываем в поле "IP-адрес источника" (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле "Протокол" выбираем "TCP/80 (HTTP)".

    ex-firewall-12_en.png

    Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping).

    ex-firewall-13_en.png

    Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.

    Важно

    В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра на стартовой странице "Системный монитор" в разделе "Интернет", нажав "Подробнее о соединении" в строке "IP-адрес"). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86).

  7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети

    Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов. Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.

    В данном случае на внешнем интерфейсе интернет-центра "Провайдер" (или другой, через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.

    Создадим запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве "IP-адреса источника" нужно установить значение "Подсеть" и указать номер подсети и маску. При использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).

    ex-firewall-14_en.png
    ex-firewall-15_en.png
    ex-firewall-16_en.png

  8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса

    Предположим, что в Keenetic с помощью правила переадресации портов открыт доступ для подключения из Интернета к домашнему компьютеру по протоколу RDP (TCP/3389). Но в этом случае порт будет открыт для всех IP-адресов из Интернета. В целях безопасности рекомендуется разрешить доступ по RDP только с определенного внешнего IP-адреса. Сделать это можно с помощью правил межсетевого экрана на внешнем интерфейсе интернет-центра "Провайдер" (или другом, через который осуществляется доступ в Интернет).

    Создайте сначала разрешающее правило для доступа с определенного IP-адреса на порт TCP 3389, а потом запрещающее правило для всех IP-адресов на порт TCP 3389.

    В нашем примере разрешено подключение только с публичного IP-адреса 93.94.95.96.

    ex-firewall-17_en.png
    ex-firewall-18_en.png
    ex-firewall-19_en.png

    Важно

    Если вы настроили маппинг порта назначения в правиле переадресации (например, с 4389 на 3389), в правиле межсетевого экрана нужно указывать именно настоящий номер порта назначения, который используется на сервере в локальной сети, т.е. 3389.

  9. Заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети

    Если некоторым устройствам в локальной сети необходимо запретить доступ к веб-интерфейсу Keenetic по адресам 192.168.1.1 и my.keenetic.net, это можно сделать с помощью запрещающих правил межсетевого экрана, создав их на интерфейсе локальной сети (по умолчанию это интерфейс "Домашняя сеть").

    Покажем пример запрета доступа к веб-интерфейсу роутера для устройства с IP-адресом 192.168.1.143.

    ex-firewall-20_en.png

    В нашем примере добавлены два запрещающих правила. В качестве адреса источника указан IP-адрес хоста локальной сети, которому мы хотим запретить доступ к веб-интерфейсу роутера. Обращаем внимание, что в правиле для запрета доступа через 192.168.1.1 порт назначения должен быть указан TCP/80, а в правиле для запрета доступа по адресу my.keenetic.net нужно указать адрес назначения 78.47.125.180 (именно этот IP привязан к доменному имени my.keenetic.net) и порт TCP/443 (т.к. при обращении по доменному имени происходит автоматический редирект на протокол https).

    Мы показали пример для запрета доступа одного хоста к веб-интерфейсу роутера из локальной сети, но аналогично можно сделать правила и для других хостов.

Примечание

Вопрос: Возможно ли с помощью правил Межсетевого экрана заблокировать трафик только между двумя хостами локальной сети?

  • Ответ: С помощью правил Межсетевого экрана заблокировать трафик между двумя хостами одной локальной сети нельзя, так как хосты находятся в одном сегменте и обмен между ними проходит на втором уровне модели OSI. Межсетевой экран работает на третьем уровне модели OSI.

    Заблокировать трафик возможно только между всеми хостами, которые находятся в разных сегментах сети, включением функции isolate-private (блокирует связь полностью между сегментами), или с помощью отдельных правил Межсетевого экрана, блокируя доступ только для некоторых хостов.

В этом разделе: