(!) Настройка в ADSL-модемах серии P-660 через веб-интерфейс фильтрации пакетов на основе IP- и MAC-адресов

Как настроить фильтрацию пакетов на основе IP- и MAC-адресов через веб-интерфейс ADSL-модемов серии P-660 версии 2?

Пример создания фильтрации трафика на основе IP-адреса


Полезную дополнительную информацию по использованию и настройке фильтра TCP/IP-пакетов в устройствах ZyXEL можно найти в следующей статье: KB-1336


Предположим, что нужно обеспечить доступ в Интернет только двум компьютерам с IP-адресами 192.168.1.35 и 192.168.1.41 и заблокировать доступ в Интернет другим компьютерам локальной сети.



Для настройки фильтрации трафика зайдите в меню Security > Filter. Вы увидите основное окно, в котором содержатся уже по умолчанию предустановленные  фильтры (эти фильтры могут быть неактивны, и при необходимости их можно изменить/удалить) и пустые поля, предназначенные для создания новых фильтров. В модеме можно создать 12 наборов фильтров.



В поле Name введите название фильтра, в поле Filter Type укажите тип используемого фильтра - TCP/IP (фильтрация на основе TCP/IP-пакетов) или Generic (фильтрация на основе MAC-адресов). В нашем примере установите значение поля Filter Type - TCP/IP. Затем нажмите в поле Modify кнопку Edit для создания или редактирования правил фильтрации. В каждом наборе фильтров можно создать 6 правил фильтрации. Напротив первого правила нажмите кнопку Edit для создания нового правила.



Включите правило в поле Active, установив галочку. В поле IP Protocol установите значение ALL (при необходимости в этом поле можно точно указать IP-протокол ICMP, TCP или UDP). В поля Source Address и Source Subnet Netmask введите соответственно IP-адрес компьютера, которому будет разрешен доступ в Интернет, и маску 255.255.255.255 (указывает использование только одного IP-адреса подсети).
В поле Action Match установите значение Forward, т.е. при совпадении правила пропускать все IP-пакеты, а в поле Action Not Match установите значение Check Next Rule, т.е. при несовпадении правила перейти к следующему правилу. Нажмите кнопку Apply для сохранения правила.



Далее создайте второе правило. Его настройки будут аналогичны первому правилу, только в поле Source Address укажите второй IP-адрес компьютера, которому будет разрешен доступ в Интернет, в поле Action Match установите значение Forward, т.е. при совпадении правила пропускать все IP-пакеты, и в поле Action Not Match установите значение Drop, т.е. при несовпадении правила отклонять все пакеты. Нажмите кнопку Apply для сохранения правила.



Таким образом, будет создано 2 правила фильтрации.



Нажмите кнопку Back для возвращения в основное окно, содержащее список набора фильтров. В нашем примере был создан TCP/IP-фильтр с именем ACCESS_IP_35_41. Нажмите кнопку Apply для сохранения всех изменений.



Чтобы созданный фильтр стал активным, его нужно присоединить к интерфейсу LAN или WAN и определить, к каким данным, входящим (Input) или выходящим (Output), его применять.
В нашем примере фильтр будет применен к входящим данным LAN-интерфейса модема. Зайдите в меню Network > LAN. На закладке IP нажмите кнопку Advanced Setup для вызова дополнительных настроек.



В разделе Filter в поле Input Filter Sets - TCP/IP укажите номер IP-фильтра (в нашем примере используется IP-фильтр с номером 5). Нажмите кнопку Apply для применения настроек.


Примечание: Для применения фильтра к WAN-интерфейсу модема зайдите в меню Network > WAN. На закладке Internet Connection нажмите кнопку Advanced Setup для вызова дополнительных настроек.



Пример настройки IP-фильтра из режима командной строки можно найти в следующей статье: БЗ-1687


 




 


Пример создания фильтрации трафика на основе MAC-адреса


 


Полезную дополнительную информацию по использованию и настройке фильтра Ethernet-кадров в устройствах ZyXEL можно найти в следующей статье: БЗ-1337


Предположим, что нужно заблокировать доступ в Интернет только компьютеру, имеющему MAC-адрес 00A0C530C81A.



Для настройки фильтрации трафика зайдите в меню Security > Filter. Вы увидите основное окно, в котором содержатся уже по умолчанию предустановленные фильтры (эти фильтры могут быть неактивны, и при необходимости их можно изменить/удалить) и пустые поля, предназначенные для создания новых фильтров. В модеме можно создать 12 наборов фильтров.



В поле Name введите название фильтра, в поле Filter Type укажите тип используемого фильтра - Generic (фильтрация на основе MAC-адресов). Затем нажмите в поле Modify кнопку Edit для создания или редактирования правил фильтрации. В каждом наборе фильтров можно создать 6 правил фильтрации. Напротив первого правила нажмите кнопку Edit для создания нового правила.



Для создания правила для фильтрации MAC-адреса нужно настроить указанные ниже поля. Включите правило в поле Active, установив галочку. В поле Offset (Смещение в байтах) установите значение 6 (т.к. MAC-адрес источника начинается с 7-го байта, нужно пропустить первые байты MAC-адреса назначения). В поле Length (Длина в байтах) установите значение 6, т.к. MAC-адрес включает 6 байт. В поле Mask (Маска) задайте значение в шестнадцатеричной форме, по которому модем будет применять логическую операцию "И" к данным в Ethernet-кадре. В данном случае нужно установить значение ffffffffffff для маскировки MAC-адреса источника входящего кадра. В поле Value (Значение) задайте MAC-адрес, который модем будет использовать для сравнения с маскированным кадром. В поле Action Match установите значение Drop, т.е. указываем действие, которое должно выполняться при совпадении правила, в нашем случае нужно сбросить кадр. В поле Action Not Match установите значение Forward, т.е. указываем действие, которое должно выполняться в случае несоответствия правила, в нашем случае модем будет пропускать пакеты, в которых MAC-адрес источника отличен от MAC-адреса, указанного в поле Value. Нажмите кнопку Apply для сохранения правила.



Таким образом, было создано правило фильтрации по MAC-адресу.



Нажмите кнопку Back для возвращения в основное окно, содержащее список набора фильтров. В нашем примере был создан Generic-фильтр с именем Mac_Filter. Нажмите кнопку Apply для сохранения всех изменений.


Чтобы созданный фильтр стал активным, его нужно присоединить к интерфейсу LAN или WAN и определить, к каким данным, входящим (Input) или выходящим (Output), его применять.
В нашем примере MAC-фильтр будет применен к входящим данным LAN-интерфейса модема. Зайдите в меню Network > LAN. На закладке IP нажмите кнопку Advanced Setup для вызова дополнительных настроек.



В разделе Filter в поле Input Filter Sets - Generic укажите номер MAC-фильтра (в нашем примере используется фильтр с номером 1). Нажмите кнопку Apply для применения настроек.


Пример настройки MAC-фильтра из режима командной строки можно найти в следующей статье: БЗ-1687

KB-1863

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0