(!) Настройка фильтров в ADSL-модемах серии P660 версии 2 из режима командной строки (CLI)

Как в ADSL-модемах P660RT2/P660RU2/P660HT2/P660HTW2, из режима командной строки (CLI), настроить фильтрацию трафика Ethernet-кадров и IP-пакетов?

Необходимость в фильтрации трафика Ethernet возникает редко; тем не менее наборы фильтров могут быть полезными для блокировки определенных пакетов, снижения объема трафика и предотвращения несанкционированного доступа. В ADSL-модемах P660RT2/P660RU2/P660HT2/P660HTW2 создание и настройка фильтров возможны как с помощью специальных команд, так и через встроенный веб-конфигуратор. В данной статье мы рассмотрим вариант настройки фильтрации трафика из режима командной строки модема (через telnet-соединение). Набор необходимых команд и их описание представлены ниже в таблице.


Команда

Описание

sys filter set index [set#] [rule#]

Определить номер набора фильтров (set#) и номер правила фильтрации (rule#). Например, sys filter set index 2 3 означает второй набор фильтров и третье правило фильтра в этом наборе. Номер набора фильтров может быть установлен от 1 до 12, а номер правила фильтра может быть установлен от 1 до 6.

sys filter set name [set#] [name]

Установить описательное имя (название) фильтра для указанного номера набора фильтров (set#). Нужно обязательно задать название фильтра, в противном случае фильтр не будет работать!

sys filter set type [tcpip | generic]

Установить тип правила фильтрации. Вариантами являются: tcpip (Правило фильтра TCP/IP) или generic(Правило фильтра Ethernet-кадров).

sys filter set enable

Включить правило фильтра.

sys filter set disable

Выключить правило фильтра.

sys filter set protocol [protocol #]

Установить Protocol ID для правила. Это протокол верхнего уровня, например, TCP - 6, UDP - 17 и ICMP - 1. Значение должно быть в диапазоне от 0 до 255. Значение 0 соответствует ЛЮБОМУ протоколу.

sys filter set sourceroute [yes|no]

Включить.Выключить IP Source Route. Маршрут источника IP является дополнительным заголовком, определяющим маршрут, по которому IP-пакет направляется от источника к получателю. Если установлено Yes, правило применяется к любому пакету, имеющему маршрут источника IP. Большинство IP-пакетов не имеют маршрута источника.

sys filter set destip [address] [subnet mask]

Установить IP-адрес получателя (Destination IP Address) и маску подсети (Subnet Mask) для пакетов, которые вы хотите фильтровать. Данное поле игнорируется, если его значение равно 0.0.0.0.

sys filter set destport [port#] [compare type = none|equal|notequal|less|greater]

Установить номер порта (port#) получателя (Destination port) для фильтруемых пакетов. Значение параметра port# должно находиться в диапазоне от 0 до 65535. Поле со значением 0 игнорируется. Установить критерий сравнения (compare type) порта получателя в пакете со значением, установленным в port#. Вариантами являются: None (Нет), Less (Меньше), Greater (Больше), Equal (Равно) или Not Equal (Не равно). Значения параметра compare type: 0(none)|1(equal)|2(not equal)|3(less)|4(greater).

sys filter set srcip [address] [subnet mask]

Установить IP-адрес источника (Source IP Address) и маску подсети (Subnet Mask) для фильтруемых пакетов. Поле со значением 0.0.0.0 игнорируется.

sys filter set srcport [port#] [compare type = none|equal|not equal|less|greater]

Установить номер порта (port#) источника (Source port) для фильтруемых пакетов. Значение параметра port# должно находиться в диапазоне от 0 до 65535. Поле со значением 0 игнорируется. Установить критерий сравнения (compare type) порта получателя в пакете со значением, установленным в port#. Вариантами являются: None (Нет), Less (Меньше), Greater (Больше), Equal (Равно) или Not Equal (Не равно). Значения параметра compare type: 0(none)|1(equal)|2(not equal)|3(less)|4(greater).

sys filter set tcpEstab [yes|no]

Включить TCP establish. Применяется только тогда, когда значение поля IP Protocol (Протокол IP) равно 6, т.е. TCP. Если установлено Yes (Да), правило соответствует пакетам, которые предназначены для установления соединения TCP (SYN=1 и ACK=0); в противном случае правило игнорируется.

sys filter set more [yes|no]

Если установлено значение Yes (Да), соответствующий правилу пакет проверяется по следующему правилу фильтра, перед тем как будет выполнено заданное действие; в противном случае пакет обрабатывается в соответствии с полями, где назначены действия. Если в поле More (Дополнительно) установлено Yes, то поля Action Matched (Действие при соответствии) и Action Not Matched (Действие при несоответствии) являются недоступными (N/A).

sys filter set log [type 0-3= none | match| notmatch | both ]

Выберите режим регистрации пакетов из следующих вариантов:
None (Нет) - пакеты не регистрируются в журнальном файле. Action Matched (Действие при соответствии) - регистрируются только пакеты, соответствующие параметрам правила. Action Not Matched (Действие при несоответствии) -регистрируются только пакеты, не соответствующие параметрам правила. Both (Все) - все пакеты регистрируются в журнальном файле.

sys filter set actmatch[type = checknext | forward | drop]

Выберите действие для применения  к пакету, для которого обнаружено соответствие правилу (Action Match). Вариантами являются: Check Next Rule (Проверить по следующему правилу), Forward (Переслать) или Drop (Сбросить).

sys filter set actnomatch [type = checknext | forward | drop]

Выберите действие для применения к пакету, для которого соответствие правилу не обнаружено (Action Not Matched). Вариантами являются: Check Next Rule (Проверить по следующему правилу), Forward (Переслать) или Drop (Сбросить).

sys filter set offset [#]

Установить параметр offset определяющий начальный байт блока данных в пакете, для которого будет производиться сравнение. Значение поля должно находиться в диапазоне от 0 до 255.

sys filter set length [#]

Установить параметр lenght определяющий количество байтов для блока данных в пакете, для которого будет производиться сравнение. Значение поля должно находиться в диапазоне от 0 до 8.

sys filter set mask [#]

Установить параметр mask определяющий маску (в шестнадцатеричном формате) для применения к блоку данных перед сравнением.

sys filter set value [#]

Установить значение value (в шестнадцатеричном формате) для сравнения с блоком данных.

sys filter set clear

Обнулить текущий набор фильтров.

sys filter set save

Сохранить настройки фильтров.

sys filter set display [set#][rule#]

Показать информацию по указанному номеру набору фильтров (set#) и номеру правила фильтрации (rule#).

sys filter set freememory 

Отменить сделанные изменения.


Фильтры могут быть использованы как со стороны Глобальной сети (WAN), так и со стороны локальной сети Ethernet (LAN). После создания фильтра(ов) следует его(их) применять для определенного интерфейса (LAN или WAN) и для конкретного типа трафика (исходящего или входящего).


Для использования набора фильтров на WAN-интерфейсе предназначены следующие команды:

Команда

Описание

wan node index <node#> Указать node# = 1~8, соответствующий номеру виртуального соединения.
wan node filter <incoming|outgoing> <tcpip|generic> <set1#> <set2#> <set3#> <set4#>

Применить набор фильтров на WAN-интерфейсе с указанием типа правила фильтрации (правило фильтра TCP/IP или правило фильтра Ethernet-кадров) и типа трафика (исходящего или входящего). Можно применять до четырех наборов фильтров (из двенадцати).

wan node save Сохранить настройки виртуального соединения на WAN-интерфейсе.

Для использования набора фильтров на LAN-интерфейсе предназначены следующие команды:

Команда

Описание

lan index [index#]

Указать индекс LAN-интерфейса. Параметр index# =1 для LAN; =2 для IP Alias#1; =3 для IP Alias#2

lan filter <incoming|outgoing> <tcpip|generic> <set1#> <set2#> <set3#> <set4#>

Применить набор фильтров на LAN-интерфейсе с указанием типа правила фильтрации (правило фильтра TCP/IP или правило фильтра Ethernet-кадров) и типа трафика (исходящего или входящего). Можно применять до четырех наборов фильтров (из двенадцати).

lan save Сохранить настройки на LAN-интерфейсе.

Пример настройки IP-фильтра


Предположим, что нужно обеспечить доступ в Интернет только двум компьютерам с IP-адресами 192.168.1.35 и 192.168.1.41 и заблокировать доступ в Интернет другим компьютерам локальной сети.



/*Создадим правило фильтрации #1, в котором нужно разрешить доступ в Интернет с IP-адреса 192.168.1.35, а затем перейти к проверке следующего правила.*/


sys filter set index 1 1
sys filter set name 1 ACCESS_IP_35_41
sys filter set type tcpip
sys filter set enable
sys filter set protocol 0 
sys filter set srcip 192.168.1.35 255.255.255.255
sys filter set actmatch forward
sys filter set actnomatch checknext
sys filter set save
sys filter set display 1 1

 


/*Создадим правило фильтрации #2, в котором нужно разрешить доступ в Интернет с IP-адреса 192.168.1.41, а затем блокировать доступ в Интернет с других IP-адресов.*/

 

sys filter set index 1 2
sys filter set type tcpip
sys filter set enable
sys filter set protocol 0 
sys filter set srcip 192.168.1.41 255.255.255.255
sys filter set actmatch forward
sys filter set actnomatch drop
sys filter set save 
sys filter set display 1 2

 


/*Чтобы созданный фильтр стал активным, его нужно присоединить к LAN- или WAN-интерфейсу и определить, к каким данным, входящим или исходящим, его применять.
В нашем примере фильтр будет применен к входящим данным на LAN-интерфейсе модема.*/


lan index 1
lan filter incoming tcpip 1
lan save

 

/*Таким образом, будет организован доступ в Интернет только двум компьютерам с IP-адресами 192.168.1.35 и 192.168.1.41.
Внимание! После того как подобный фильтр на интерфейсе LAN заработает, доступ к настройкам модема (при подключении к LAN-интерфейсу) будет возможен только с компьютера имеющего IP-адрес 192.168.1.35 или 192.168.1.41, т.к. пакеты с любым другим IP-адресом будут блокироваться!*/


Пример настройки MAC-фильтра


Предположим, что нужно заблокировать доступ в Интернет только компьютеру имеющего MAC-адрес 00A0C530C81A.



/*Создадим правило фильтрации #1, в котором нужно запретить доступ в Интернет с компьютера имеющего MAC-адреса 00a0c530c81a*/


sys filter set index 1 1
sys filter set name 1 macf
sys filter set type generic
sys filter set enable
sys filter set offset 6
sys filter set length 6
sys filter set mask ffffffffffff
sys filter set value 00a0c530c81a
sys filter set actmatch drop
sys filter set actnomatch forward
sys filter set save

 


/*Чтобы созданный фильтр стал активным, его нужно присоединить к LAN- или WAN-интерфейсу и определить, к каким данным, входящим или исходящим, его применять.
В нашем примере фильтр будет применен к входящим данным на LAN-интерфейсе модема.*/ 

lan index 1
lan filter incoming generic 1
lan save

 

/*Таким образом, будет заблокирован доступ в Интернет только одному компьютеру из локальной сети имеющего MAC-адрес 00A0C530C81A.
Внимание! После того как подобный фильтр на интерфейсе LAN заработает, доступ к настройкам модема будет невозможен с компьютера имеющего MAC-адрес 00A0C530C81A !*/


Примечание:

 

1. Нужно обязательно задать название набору фильтров командой sys filter set name [set#] [name], в противном случае фильтр не будет работать.
2. У
казанные выше команды нужно выполнять в режиме командной строки модема. Прочитать, как зайти в режим командной строки ADSL-модема, вы можете в следующей статье: «Интерфейс командной строки (CLI) в интернет-центрах, модемах, маршрутизаторах»
 

Дополнительную информацию по фильтрации IP-пакетов и Ethernet-кадров можно получить в следующих статьях: БЗ-1336 и БЗ-1337

 

KB-1687

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0