Примеры использования правил межсетевого экрана

Как корректно настроить правила межсетевого экрана (Firewall) в интернет-центрах серии Keenetic?


Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.
 
В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.
Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье: «Описание работы с межсетевым экраном»
 
Рассмотрим следующие примеры:
 
Пример настройки правил межсетевого экрана интернет-центра серии Keenetic, в которых используется диапазон IP-адресов или портов, представлен в статье: «Настройка правил межсетевого экрана интернет-центра, в которых используется диапазон IP-адресов или портов»

Настройку правил сетевого экрана будем производить через веб-конфигуратор интернет-центра. Сделать это можно в меню Безопасность на вкладке Межсетевой экран.
 
Внимание! Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.
 
Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ.
 
В данном примере нужно создать два правила для интерфейса локальной сети Home network.
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.
 
Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.
 
 
 
Предупреждение! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.
 
 
Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети.
 
В данном примере нужно создать одно правило для интерфейса локальной сети Home network.
Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.
 
 
 
Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети.
 
В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту социальной сети знакомств Love.Ru
 
Внимание! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.
В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).
 
Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>
Например, в командной строке операционной системы выполним команду nslookup love.ru
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт использует 4 IP-адреса).
 
Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru).
В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку Проверить. После этого вы увидите все IP-адреса, на которых работает сайт.
 
Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана.
 
Внимание! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.
 
Так как в нашем примере сайт использует 4 IP-адреса, создадим для интерфейса локальной сети Home network 8 правил для блокировки трафика по протоколам: 4 для HTTP и 4 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).
 
 
 
Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту.
 
В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.1.40 доступ только к веб-сайту свободной энциклопедии Википедия. Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.
 
Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной статьи.
 
В данном примере нужно создать три правила для интерфейса локальной сети Home network.
Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.
 
 
Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета).
 
 
 
Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам).
 
Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем. 
 
В данном примере нужно создать правила для интерфейса локальной сети Home network.
Сначала создаем разрешающие правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол выбираем из списка нужный тип протокола (сервиса или службы).
А затем создаем два запрещающих правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол значение TCP и UDP для блокирования доступа в Интернет.
 
Обращаем ваше внимание, что для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).
 
В нашем примере получился следующий набор правил сетевого экрана:
 
 
Пример 6. Разрешить удаленное управление интернет-центром.
 
Внимание! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен только при наличии "белого" публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети. Желательно, чтобы это был статический или постоянный IP-адрес. Если же IP-адрес для выхода в Интернет динамический (т.е. меняется каждый раз при новом соединении с провайдером), нужно воспользоваться сервисом динамического DNS (дополнительная информация представлена в статье «Настройка и использование сервиса динамического DNS от No-IP»).
 
В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).
В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).
Внимание! Не открывайте доступ к веб-конфигуратору интернет-центра и не разрешайте выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.
 
В нашем примере нужно создать правила для интерфейса внешней сети Broadband connection (ISP). Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).
 
Создаем разрешающее правило, в котором указываем в поле IP-адрес источника (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле Протокол выбираем TCP/80 (HTTP).
 
Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping).
 
 
Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.
Обращаем ваше внимание, что в веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра в окне Системный монитор на вкладке Система в поле Адрес IPv4). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86).
 
 
Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети.
 
Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов.
Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.
В данном случае на внешнем интерфейсе интернет-центра (через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.
 
Создайте запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве IP-адреса источника нужно установить значение Подсеть и указать номер подсети и маску.  
Обращаем ваше внимание, что при использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).
 
 
 
Примечание
 

KB-4985

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 4 из 4
Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 2
  • Здравствуйте!
    Пример 7. В чём смысл создавать, как указанно в примере, запрещающие входящие правила на WAN со стороны Интернета, если они (входящие соединения) и так по умолчанию запрещены?!

  • Смысл такого правила появляется в том случае, когда на WAN-интерфейсе открыты и работают некоторые сервисы (например, при включении удаленного управления или VPN-сервера). Злоумышленники могут пытаться получить несанкционированный доступ или вызвать отказ обслуживания (DoS). Сообщения о таких попытках могут "засорять" системный журнал устройства. Также если доступ открыт (при помощи проброса портов в NAT) к сервисам на устройствах в локальных сегментах, то может требоваться дополнительно защитить их при помощи сетевого экрана на интернет-центре.

Войдите в службу, чтобы оставить комментарий.