Управление межсетевым экраном
Управление межсетевым экраномПрикладной уровень
=== Скачать файл ===
Расскажите о работе межсетевого экрана в интернет-центрах Keenetic. Какие функции он выполняет, какие задачи можно решить с его помощью? Добрый день, подскажите пожалуйста как запретить доступ в интернет адресам в диапазоне Войдите в службу , чтобы оставить комментарий. Keenetic Домашняя сеть Безопасность и настройка доступа. Описание работы с межсетевым экраном. Межсетевой экран Firewall, сетевой экран предназначен для защиты устройств локальной сети от атак извне. По умолчанию все компьютеры домашней сети скрыты от пользователей Интернета встроенным сетевым экраном и транслятором адресов NAT. Механизм трансляции сетевых адресов NAT маскирует адреса компьютеров локальной сети за единственным адресом внешнего интерфейса, и работает непосредственно с содержимым кадров, подменяя адреса источника и назначения. Сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов. Встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов LAN сети в публичные WAN , и запрещает в обратную сторону. Пользовательскими настройками можно изменять параметры безопасности: В предустановленных настройках по умолчанию публичным внешним, public является интерфейс, предназначенный для соединения с внешними сетями или для доступа в Интернет. Например, такими интерфейсами являются:. Домашними локальными, private являются интерфейсы домашней сети клиенты подключенные к интернет-центру по Ethernet и по Wi-Fi и гостевой беспроводной сети. Из домашних интерфейсов разрешено устанавливать соединения в публичные интерфейсы, и на само устройство для управления и доступа к сервисам, которые включены на интернет-центре FTP, Transmission, сетевое использование USB-накопителей и т. Для клиентов гостевой сети закрыт доступ для управления интернет-центром и к его сервисам. Между локальными интерфейсами устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Из публичных интерфейсов запрещено устанавливать соединения на любые другие интерфейсы, а также на само устройство. По умолчанию доступ к управлению интернет-центром к веб-конфигуратору из внешней сети заблокирован. Упрощенно, сетевой экран можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения. Пользовательская часть сетевого экрана Keenetic выполняет правила фильтрации, созданные для конкретного интерфейса. При создании правила сетевого экрана очень важно правильно определить интерфейс, для которого оно будет создано. Дело в том, что в привязке правил к интерфейсу также задаётся направление потока трафика , к которому данные правила будут применены. Правила могут выполняться для входящего или исходящего потока WAN- или LAN-интерфейса. Согласно приведённой схеме, входящий пакет из внешней сети в локальную на WAN-интерфейсе — это входящее направление для правила сетевого экрана, но на LAN-интерфейсе правило для контроля этого трафика — уже исходящее out. Поэтому при блокировке доступа куда-либо нужно запрещать прохождение пакетов со стороны инициатора запроса, а не ответы на эти запросы. Например, для запрета доступа по протоколу HTTP с локальных хостов на внешний адрес Также стоит отметить, что в случае когда сессия уже установлена, а ПОСЛЕ этого применена настройка правила сетевого экрана, касающаяся трафика в этой сессии, данную существующую сессию сетевой экран не будет контролировать. Правило начнёт действовать после разрыва текущей сессии — принудительного или по истечении времени жизни сессии. Правила сетевого экрана выполняются в порядке их указания по списку: Для любого правила точнее, для их группы или списка управления доступом должен быть определён интерфейс, на котором они будут выполняться. В Keenetic правила сетевого экрана обрабатываются после правил Трансляции сетевых адресов NAT. Поэтому при создании правил сетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов. Веб-интерфейс интернет-центра предлагает наиболее удобный способ управления правилами сетевого экрана. Но он имеет ограничение: Через интерфейс командной строки CLI интернет-центра возможно создавать правила для любого направления. Настройка правил сетевого экрана производится в разделе Безопасность на вкладке Межсетевой экран. Для настройки правил следует выбрать интерфейс, на входящем направлении которого эти правила будут применяться. Для управления правилами в списке имеется возможность копировать их в список другого интерфейса, перемещать вверх и вниз по списку изменять последовательность выполнения и удалять. При нажатии кнопки Удалить все правила из конфигурации будет полностью удален соответствующий данному интерфейсу список правил. При добавлении или редактировании правила в окне настройки выбирается действие — Разрешить прохождение трафика или Запретить , и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться. Диапазоны адресов требуется указывать при помощи масок. Если необходимо создать фильтр для разных диапазонов сетей, то потребуется создать несколько правил для каждого диапазона. На скриншоте ниже показан пример правила на внешнем интерфейсе WAN , разрешающего управление интернет-центром по протоколу HTTP из Интернета. Некоторые приложения сервисы , доступные в интернет-центрах серии Keenetic, самостоятельно изменяют политики безопасности для своей работы. К ним относятся, например, Сервер VPN, FTP, настройка проброса портов в NAT с внешнего интерфейса на компьютер в локальной сети или служба UPnP механизм автоматического открытия портов на хосты в локальной сети. Со стороны пользователя при их использовании не требуется никаких дополнительных настроек, нужные разрешения добавляются автоматически например, при настройке проброса портов в NAT, создание дополнительных правил в межсетевом экране не требуется, разрешения для доступа создаются автоматически. Но при необходимости с помощью пользовательских правил можно ограничить трафик, который поступает через автоматически открытые направления, оставив только необходимый. Если нужно ограничить возможность подключения для обращений с определённых адресов в сети Интернет, на внешнем интерфейсе следует создать правила, разрешающие прохождение протокола TCP на порт назначения от требуемых адресов-источников, а затем — запрещающее протокол TCP на порт от любых других узлов. Для этого, создадим через веб-интерфейс сначала разрешающее правило для входящего трафика с адресом источника 9. Эти два простые правила запрещают любые PPTP-подключения на интерфейсе ISP, кроме как с адреса 9. Настройка правил межсетевого экрана из интерфейса командной строки CLI интернет-центра. CLI предоставляет более расширенные и гибкие возможности настройки межсетевого экрана Keenetic, по сравнению с возможностями веб-конфигуратора. Подробное описание команд интерфейса CLI для каждой модели Keenetic можно найти в Справочнике команд , который размещён на сайте в разделе Файлы загрузки. Сетевой экран интернет-центра Keenetic выполняет правила фильтрации, записанные в список правил доступа Access Control List, access-list , на каждом интерфейсе, к которому привязан этот список. К одному интерфейсу может быть привязано несколько списков. Если списка не существует, он будет создан. После создания списка доступа можно приступать к созданию его правил. Для этого используются команды deny и permit , соответствующие запрещающим и разрешающим правилам фильтрации. Формат этих команд одинаков и приведен в Справочнике команд. Каждое правило может содержать фильтр только для одного из поддерживаемых протоколов. Команда, включающая фильтр для разрешения передачи TCP-пакетов с хоста Команда, включающая фильтр для запрета передачи IP-пакетов из подсети Обращаем ваше внимание, что команда permit deny ip без указания типа протокола доступна только для версий микропрограмм V2. Она объединяет протоколы TCP и UDP в одну общую настройку ip. Для версий ниже V2. Команда для разрешения подключения к веб-конфигуратору интернет-центра Чтобы удалить правило из списка, нужно повторить команду, задающую его, но перед ней указать no. Сформированный список правил, при помощи приведенных выше команд, в файле конфигурации интернет-центра будет выглядеть следующим образом:. Подготовив список правил доступа, нужно выполнить его привязку к требуемому интерфейсу устройства. Напоминаем, что для каждого списка на интерфейсе также задаётся направление потока трафика , к которому данные правила будут применены. Направление определяется относительно интерфейса входящее направление in — всегда к устройству, а исходящее out — от него. В исходящем out направлении интерфейса ISP это направление от интернет-центра в сеть данного интерфейса будет запрещена передача любого трафика на любые адреса. Список правил, подобный нашему примеру, может быть полезен, когда нужно запретить доступ в Интернет через внешний интерфейс всем хостам локальной сети, кроме одного. В нашем примере доступ и пинг запрещён всем хостам подсети На интерфейсах интернет-центра предусмотрены настройки уровня доступа security-level , которые определяют уровень безопасности логику работы сетевого экрана. Cхему разрешённых и запрещённых направлений передачи данных в интернет-центре серии Keenetic можно представить следующей диаграммой:. По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам. Между интерфейсами private устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private то есть не изолировать доступ , для этого выполните команду no isolate-private. Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство. Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. Доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством. С помощью команды security-level public private protected можно управлять уровнями доступа на интерфейсах интернет-центра. В строке security-level указан уровень безопасности, соответственно которому работает преднастроенная политика сетевого экрана. По умолчанию всем вновь созданным через командную строку интерфейсам присваивается уровень безопасности public. Список названия интерфейсов устройства и их системные идентификаторы можно посмотреть следующим образом: На экран будет выведен список всех имеющихся на текущий момент интерфейсов устройства, включая предустановленные служебные. Интернет-центр серии Keenetic под управлением ОС NDMS V2 поддерживают работу с протоколами IPv6 и IPv4. Для управления межсетевым экраном IPv6 предусмотрены только минимальные настройки: Сделать это можно через CLI: В интернет-центрах Keenetic c микропрограммой NDMS V2. Данный уровень доступа является аналогом уровня private, но без доступа к интернет-центру. По умолчанию доступ из гостевой сети к интернет-центру разрешён и для данного интерфейса установлен уровень private. Информация для опытных пользователей! В случае когда необходимо применить большое количество правил сетевого экрана, можно выполнять настройку правил путём редактирования файла конфигурации интернет-центра startup-config. После сохранения изменений нужно загрузить файл обратно на устройство и перезагрузить его. Но редактировать файл конфигурации следует крайне осторожно, так как это может привести к невозможности управления устройством, потере работоспособности отдельных функций, некорректному отображению настроек в веб-интерфейсе. Если ваше устройство после загрузки отредактированного файла конфигурации перестало корректно работать, советуем сбросить пользовательские настройки кнопкой СБРОС и настроить интернет-центр заново стандартными методами: Правила сетевого экрана, настроенные через веб-интерфейс, записываются в файле конфигурации интернет-центра в списках доступа с именами вида: Не рекомендуется перенастраивать такие списки при помощи команд CLI, вместо этого при необходимости выполнить дополнительные настройки следует создавать списки доступа с уникальными именами. Различные примеры использования правил межсетевого экрана представлены в статье: Пример настройки правил межсетевого экрана, в которых используется диапазон IP-адресов или портов, представлен в статье: Была ли эта статья полезной?
Образец договора пользования общим имуществом снт
Проблемыи перспективы социально экономического развития
Sims 4 как установить дополнения