(!) Настройка фильтрации пакетов на основе IP- и MAC-адресов в ADSL-модемах P660HT3/P660HN Lite

Как настроить фильтрацию сетевых пакетов на основе IP- и MAC-адресов через веб-интерфейс ADSL-модемов P660HT3/P660HN Lite?


В ADSL-модемахP660HT3/P660HN Lite возможно создание ТОЛЬКО запрещающих правил фильтрации сетевых пакетов на основе IP- и MAC-адресов. В настройках модема можно создавать правила и привязывать их к одному из интерфейсов: можно сделать, чтобы правило работало на весь LAN-интерфейс, а можно создать правило, которое будет работать исключительно в рамках одного PVC.


1. Пример создания фильтрации трафика на основе IP-адреса


1.1. Использование правил с направлением Outgoing/Incoming для LAN-интерфейса


Рассмотрим сначала варианты настройки правил для LAN-интерфейса. Например, вам нужно ограничить доступ из локальной сети модема к самому модему по его LAN IP-адресу. Для этого нужно зайти в меню Security > Filter > IPMacFilter и создать правило Incoming.



Правило Incoming – это входящие сетевые пакеты в LAN-интерфейс, т.е. по направлению из локальной сети к модему, поэтому в данном случае IP-адресом источника (Source) будет IP-адрес хоста (компьютера) в локальной сети, а IP-адресом назначения (Destination) – IP-адрес самого модема. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.


После установки данного правила все пакеты, которые идут от IP-адреса 192.168.1.2 по направлению к 192.168.1.1, будут блокироваться модемом.



Правило Outgoing – это исходящие пакеты из LAN-интерфейса, т.е. по направлению от модема в локальную сеть, поэтому в данном случае IP-адресом источника (Source) будет IP-адрес самого модема, а IP-адресом назначения (Destination) – IP-адрес хоста в локальной сети. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.


После установки данного правила все пакеты, которые идут от IP-адреса 192.168.1.1 по направлению к 192.168.1.2, будут блокироваться модемом. Т.е. компьютер с IP-адресом 192.168.1.2 будет обращаться к модему, но ответные пакеты от модема будут блокироваться.


По сути, в данном случае настройка правил Outgoing и Incoming ведет к идентичным результатам. Отличие в том, что при использовании правил Incoming блокируются пакеты изначально, т.е. до модема пакеты от компьютера не доходят, а при использовании правил Outgoing пакеты от компьютера прозрачно проходят до модема, но обратно ответы не идут.


1.2. Использование правил с направлением Both для LAN-интерфейса


Например, необходимо в локальной сети заблокировать весь трафик, который используется для telnet-соединений, т.е. запретить любой доступ в сети по порту 23. Для этого нужно создать нижеприведенное правило в направлении Both. В этом случае любая попытка использовать 23-й порт будет заблокирована со стороны модема.


Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.



1.3. Использование правил с направлением Outgoing/Incoming для отдельного PVC


Рассмотрим варианты настройки правил фильтрации для отдельного PVC. Например, вам нужно ограничить доступ из локальной сети модема к какому-нибудь внешнему ресурсу, например публичному DNS-серверу Google (8.8.8.8). Для этого нужно зайти в меню Security > Filter > IPMacFilter и создать правило Incoming для PVC, которое обеспечивает доступ в Интернет.



Правило Incoming – это входящие пакеты в WAN-интерфейс, т.е. по направлению из Интернета к модему, поэтому в данном случае IP-адресом источника (Source) будет IP-адрес хоста (сервера) во внешней сети (в нашем случае IP-адрес DNS-сервера Google), а IP-адресом назначения (Destination) – IP-адрес компьютера, которому запрещен доступ. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится Forward.


После установки данного правила все пакеты, которые идут от IP-адреса сервера DNS 8.8.8.8 по направлению к 192.168.1.2, будут блокироваться модемом. Т.е. компьютер с IP-адресом 192.168.1.2 будет обращаться к публичному DNS-серверу, но ответные пакеты будут блокироваться.



Правило Outgoing – это исходящие пакеты во внешнюю сеть от модема, поэтому в данном случае IP-адресом источника (Source) будет IP-адрес компьютера в локальной сети, которому запрещается доступ, а IP-адресом назначения (Destination) – IP-адрес сервера DNS во внешней сети. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.


После установки данного правила все пакеты, которые идут от IP-адреса 192.168.1.2 по направлению к IP-адресу сервера DNS 8.8.8.8, будут блокироваться модемом.


По сути, в данном случае настройка правил Outgoing и Incoming ведет к идентичным результатам. Отличие в том, что при правиле Outgoing блокируются пакеты изначально, т.е. до сервера во внешней сети пакеты от компьютера не доходят, при правиле Incoming пакеты от компьютера прозрачно проходят до сервера во внешней сети, но обратно ответы не идут.


1.4. Использование правил с направлением Both для отдельного PVC


Например, необходимо из локальной сети заблокировать весь трафик, который используется для https-соединений, т.е. запретить любой доступ из сети в Интернет по порту 443. Для этого нужно создать нижеприведенное правило в направлении Both. В этом случае любая попытка использовать 443-й порт будет заблокирована со стороны модема.


Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.



2. Пример создания фильтрации трафика на основе MAC-адреса


В данном разделе рассматривается возможность блокировки сетевого трафика для компьютера с фиксированным MAC-адресом в Интернет. Для этого нужно зайти в меню Security > Filter > IPMacFilter и создать правило Incoming. В поле Rule Type выбрать значение MAC и указать MAC-адрес блокируемого компьютера.


Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.


После создания данного правила компьютер с указанным MAC-адресом не будет иметь доступа к внешней сети.


KB-2195

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0