(!) Настройка фильтрации пакетов на основе IP- и MAC-адресов в ADSL-модемах P660RT3/P660RU3

Как настроить фильтрацию сетевых пакетов на основе IP- и MAC-адресов через веб-интерфейс ADSL-модемов P660RT3/P660RU3?

В ADSL-модемах P660RT3/RU3 возможно создание ТОЛЬКО запрещающих правил фильтрации сетевых пакетов на основе IP- и MAC-адресов. В настройках модема можно создавать правила и привязывать их к одному из интерфейсов: можно сделать, чтобы правило работало на весь LAN-интерфейс, а можно создать правило, которое будет работать исключительно в рамках одного PVC.

1. Пример создания фильтрации трафика на основе IP-адреса

1.1. Использование правил с направлением Outgoing/Incoming для LAN-интерфейса

Рассмотрим сначала варианты настройки правил для LAN-интерфейса.

Предположим, вам нужно ограничить доступ из локальной сети модема к самому модему по его LAN IP-адресу. Для этого нужно подключиться к веб-конфигуратору устройства, зайти в меню Access Management > Filter, указать тип фильтра IP/MAC Filter (в поле Filter Type Selection) и создать правило для направления Incoming (в поле Direction).

Направление Incoming – это входящие сетевые пакеты в LAN-интерфейс, т.е. пакеты, которые идут по направлению из локальной сети к модему. IP-адресом источника (Source IP Address) будет IP-адрес хоста (компьютера) в локальной сети, а IP-адресом назначения (Destination IP Address) – IP-адрес самого модема. В поле Protocol укажите значение протокола, для которого будет применяться фильтр (возможные значения - ICMP, TCP, UDP).

Внимание! Если, создано только одно запрещающее правило, все пакеты Rule Unmatched (непопавшие под его условия), должны быть пропущены. Для этого нужно установить в поле Rule Unmatched действие Forward (пропустить). В нашем примере после создания указанного правила все пакеты, которые идут от IP-адреса 192.168.1.2 по направлению к модему (192.168.1.1), будут блокироваться устройством.
При необходимости создать несколько запрещающих правил, все кроме последнего, должны заканчиваться действием Next (проверить следующее правило). А последнее правило всегда должно заканчиваться действием Forward (пропустить). Например, для блокирования доступа к модему сразу трех хостов локальной сети с IP-адресами 192.168.1.2-192.168.1.4, IP-фильтр будет выглядеть следующим образом:

InterfaceDirectionRule TypeSource IP AddressDestination IP AddressProtocolRule Unmatched
LANIncomingIP192.168.1.2192.168.1.1TCPNext
LANIncomingIP192.168.1.3192.168.1.1TCPNext
LANIncomingIP192.168.1.4192.168.1.1TCPForward


Направление
Outgoing – это исходящие пакеты из LAN-интерфейса, т.е. пакеты, которые идут по направлению от модема в локальную сеть. IP-адресом источника (Source IP Address) будет IP-адрес самого модема, а IP-адресом назначения (Destination IP Address) – IP-адрес хоста в локальной сети. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.

В нашем примере после создания указанного правила все пакеты, которые идут от IP-адреса 192.168.1.1 по направлению к 192.168.1.2, будут блокироваться модемом. Т.е. компьютер с IP-адресом 192.168.1.2 будет обращаться к модему, но ответные пакеты от модема будут блокироваться.

По сути, в данном случае настройка правил Outgoing и Incoming ведет к идентичным результатам. Основное отличие в том, что при использовании правил Incoming сетевые пакеты блокируются изначально, т.е. до модема пакеты от компьютера не доходят, а при использовании правил Outgoing сетевые пакеты от компьютера прозрачно проходят до модема, но обратно ответы не идут.

1.2. Использование правил с направлением Both для LAN-интерфейса

Предположим, необходимо в локальной сети заблокировать весь трафик, который используется для telnet-соединений, т.е. запретить любой доступ в сети по порту 23. Для этого нужно создать нижеприведенное правило в направлении Both. Направление Both определяет одновременно оба направления Incoming и Outgoing.

Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.

В нашем случае любая попытка использовать 23-й порт будет заблокирована со стороны модема.

1.3. Использование правил с направлением Outgoing/Incoming для отдельного PVC

Теперь рассмотрим варианты настройки правил для WAN-интерфейса.

Рассмотрим вариант настройки правил фильтрации для конкретного PVC. PVC – это виртуальный канал для соединения с Интернетом.
Предположим, вам нужно ограничить доступ из локальной сети модема к какому-нибудь внешнему ресурсу, например к публичному сайту, имеющему IP-адрес 88.88.88.88. Для этого нужно создать правило Incoming для PVC, которое обеспечивает доступ в Интернет.

Направление Incoming – это входящие пакеты в WAN-интерфейс, т.е. пакеты, которые идут по направлению из Интернета к модему. IP-адресом источника (Source IP Address) будет IP-адрес сервера во внешней сети (в нашем случае это IP-адрес публичного сайта), а IP-адресом назначения (Destination IP Address) – IP-адрес компьютера, которому запрещен доступ. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.
После установки данного правила все пакеты, которые идут от IP-адреса публичного сайта 88.88.88.88 по направлению к 192.168.1.2, будут блокироваться модемом. Т.е. компьютер с IP-адресом 192.168.1.2 будет обращаться к публичному сайту, а ответные пакеты будут блокироваться.

Направление Outgoing – это исходящие пакеты во внешнюю сеть от модема. IP-адресом источника (Source IP Address) будет IP-адрес компьютера в локальной сети, которому запрещается доступ, а IP-адресом назначения (Destination IP Address) – IP-адрес сервера DNS во внешней сети. Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.

После установки данного правила все пакеты, которые идут от IP-адреса 192.168.1.2 по направлению к IP-адресу публичного сайта 88.88.88.88, будут блокироваться модемом.

По сути, в данном случае настройка правил Outgoing и Incoming ведет к идентичным результатам. Основное отличие в том, что при правиле Outgoing сетевые пакеты блокируются изначально, т.е. до сервера во внешней сети пакеты от компьютера не доходят, при правиле Incoming сетевые пакеты от компьютера прозрачно проходят до сервера во внешней сети, но обратно ответы не идут.

1.4. Использование правил с направлением Both для отдельного PVC

Предположим, необходимо из локальной сети заблокировать весь трафик, который используется для https-соединений, т.е. запретить любой доступ в сети по порту 443. Для этого нужно создать нижеприведенное правило в направлении Both.
Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.

В данном случае любая попытка использовать 443-й порт (протокол https) будет заблокирована со стороны модема.

2. Пример создания фильтрации трафика на основе MAC-адреса

В этом разделе рассматривается возможность блокировки сетевого трафика для компьютера с указанным MAC-адресом в Интернет. В поле Rule Type выберите значение MAC и укажите MAC-адрес блокируемого компьютера (в поле MAC Address).
Если будет создано несколько правил, то во всех правилах (кроме последнего) в поле Rule Unmatched устанавливается значение Next, а в последнем – Forward. В этом случае модем будет перебирать все запрещающие правила, и если входящий пакет не подходит ни под одно из них, то пакет блокироваться не будет. Если правило одно, то ставится значение Forward.

После создания указанного правила компьютер с MAC-адресом 01:23:45:67:89:ab не будет иметь доступа к Интернету (и к управлению модемом, т.к. используется правило с направлением Both).

KB-3437

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0