В каком порядке выполняются правила Firewall?

В каком порядке выполняются правила межсетевого экрана Firewall?


Правила межсетевого экрана Firewall обрабатываются по порядку их отображения в списке (т.е. в порядке создания).
Например, требуется разрешить доступ в сеть по всем портам только для одного компьютера с IP-адресом 192.168.1.11.
Сначала нужно создать список исключений (разрешающее правило), а затем - правило, запрещающее доступ всем.
Правило создается для интерфейса-источника (в нашем примере это локальная сеть Home).

Ниже представлены примеры настройки правил Firewall через режим командной строки интернет-центра.

1. Разрешающее правило (permit) для доступа одного компьютера с IP-адресом 192.168.1.11:

permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0
permit udp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0

2. Запрещающее правило (deny) для всех компьютеров подсети 192.168.1.0/24:

deny tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0
deny udp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

Примечание: Клиенты, подключенные к гостевой сети Wi-Fi (если она активна), сохранят возможность выходить в Интернет. Если необходимо запретить доступ всем, потребуется создать аналогичное правило для сети GuestWiFi.

Информацию о маске подсети можно найти в статье: «Пример расчета количества хостов и подсетей на основе IP-адреса и маски подсети»

Если нужно разрешить доступ только по конкретному приложению (например, к веб-страницам), в разрешающем правиле указываем порт назначения (в нашем примере порт 80/HTTP):

permit tcp 192.168.1.11 255.255.255.255 0.0.0.0 0.0.0.0 port eq 80

Дополнительную информацию о том, как в интернет-центрах серии Keenetic с микропрограммой NDMS V2 заблокировать доступ в Интернет по порту 80(HTTP) всем пользователям, кроме одного, с указанным IP-адресом, вы можете найти в статье: «Как в интернет-центре заблокировать доступ в Интернет по порту 80 (HTTP) всем пользователям, кроме одного, с указанным IP-адресом?»

Примечание: Если правил межсетевого экрана много или нужно изменить их порядок, удобнее всего это сделать путем редактирования файла конфигурации в любом текстовом редакторе. Но редактировать файл конфигурации следует крайне осторожно, т.к. это может привести к невозможности управления устройством, потере работоспособности отдельных функций, некорректному отображению настроек в веб-интерфейсе.

Подробную информацию обо всех командах интернет-центра можно найти в справочнике командного интерфейса интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.

 

KB-2796

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.