Для защиты вашей локальной сети от атак и злоумышленников из Интернета в интернет-центрах Keenetic по умолчанию включен брандмауэр. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности, и нет необходимости дополнительно настраивать брандмауэр. Но если это необходимо для решения определенных проблем, любой роутер Keenetic предоставляет гибкие возможности для настройки правил межсетевого экрана.
В этой статье мы приведем практические примеры использования правил межсетевого экрана в Keenetic.
Немного теории и подробное описание межсетевого экрана в маршрутизаторах Keenetic можно найти в статье «Как работает межсетевой экран?».
ПРИМЕЧАНИЕ: Важно! брандмауэр не будет контролировать существующий сеанс, если он уже установлен, а затем создается правило брандмауэра, касающееся трафика в этом сеансе. Правило вступит в силу после того, как текущий сеанс будет прерван – принудительно или по истечении срока его существования.
Для правильной работы вновь созданного правила (для сброса текущих/активных подключений) вы можете отключить и включить соответствующий сетевой интерфейс снова на вашем интернет-центре.
Давайте взглянем на следующие примеры:
1. Разрешить доступ в Интернет только для одного компьютера в локальной сети и заблокировать доступ для всех остальных.
2. Заблокируйте доступ в Интернет только для одного компьютера в локальной сети.
3. Заблокируйте доступ к определенному сайту из локальной сети.
4. Разрешить определенному компьютеру в локальной сети доступ только к одному указанному веб-сайту.
5. Разрешить доступ в Интернет из локальной сети только по указанным протоколам (службам).
6. Разрешить удаленное управление интернет-центром Keenetic.
7. Заблокируйте доступ к интернет-центру с IP-адресов определенной подсети Интернета или внешней сети.
8. Разрешить RDP-доступ только с определенного внешнего IP-адреса.
Мы настроим правила брандмауэра через веб-интерфейс Keenetic. Вы можете сделать это на странице брандмауэра.
СОВЕТ: Примечание. Чтобы заблокировать доступ в Интернет, мы определим протокол TCP в правилах брандмауэра, поскольку Интернет основан по протоколам сетевой передачи данных TCP/IP.
Пример 1. Разрешить доступ в Интернет только для одного компьютера в локальной сети и заблокировать доступ для всех остальных.
В этом примере вам нужно создать два правила для интерфейса ‘Домашний сегмент’.
Сначала мы создадим правило разрешения, в котором вы определяете исходный IP-адрес (IP-адрес компьютера, к которому будет разрешен доступ) и тип протокола TCP.
Затем мы создадим правило Deny, в котором мы определим исходный IP-адрес как подсеть (192.168.1.0 с маской 255.255.255.0) и тип протокола TCP.
ПРИМЕЧАНИЕ: Важно! Это правило следует настраивать с компьютера, имеющего доступ в Интернет.. В противном случае вы потеряете доступ к веб-интерфейсу интернет-центра после создания упомянутых выше правил. В этом случае вручную назначьте разрешенный IP-адрес в настройках сетевого адаптера, а затем подключитесь к веб-интерфейсу.
Пример 2. Заблокируйте доступ в Интернет только для одного компьютера в локальном сеть.
В этом примере нам нужно создать одно правило для «Домашнего сегмента». Мы создадим правило запрета, в котором зададим исходный IP-адрес (IP-адрес компьютера, доступ к которому будет запрещен) и тип протокола TCP.
В этом примере все компьютеры в локальной сети не смогут получить доступ к сайту Википедии wikipedia.org.
ПРИМЕЧАНИЕ. Важно! Имена доменов не могут использоваться в настройки брандмауэра маршрутизаторов Keenetic, и могут быть установлены только IP-адреса.
Перед настройкой правил вам необходимо узнать IP-адрес веб-сайта, который вы хотите использовать. У одного сайта может быть несколько разных IP-адресов (обычно это относится к большим ресурсам, таким как amazon.com, google.com, facebook.com и т. Д.).
Первый способ узнать адрес сайта Для IP-адреса используется специальная команда nslookup .
Например, в командной строке операционной системы мы запустим команду:
nslookup wikipedia.org
Результат приведенная выше команда позволит вам увидеть IP-адреса, на которых расположен веб-сайт (в нашем примере wikipedia.org использует только один IP-адрес 91.198.174.192).
Второй способ узнать IP-адрес веб-сайта предназначен для использования одной из специальных онлайн-сервисов (например, 2ip.io). В специальном поле вам нужно будет указать название интересующего вас сайта и нажать кнопку «Проверить». После этого вы увидите все IP-адреса, на которых работает сайт.
Теперь, когда у вас есть IP-адрес веб-сайта, вы можете приступить к созданию правил брандмауэра.
ПРИМЕЧАНИЕ. Важно! Веб-сайты могут работать не только на HTTP, но также и HTTPS.
Поскольку в этом примере веб-сайт использует один IP-адрес, давайте создадим два правила для «Домашнего сегмента», чтобы блокировать трафик по протоколам: одно для HTTP и одно для HTTPS. Создайте правила запрета, чтобы указать IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).
Более подробную информацию можно найти в статье Как заблокировать доступ к определенному сайту.
Пример 4. Разрешить определенному локальному компьютеру доступ только к одному указанному сайту..
В этом примере давайте разрешим локальному компьютеру с IP-адресом 192.168.0.31 доступ только к веб-сайту Wikipedia.org.
Доступ к другим интернет-сайтам будет заблокирован для этого компьютера.
Сначала найдем IP-адрес нужного нам сайта. В нашем примере это wikipedia.org с IP-адресом 91.198.174.192. Подробную информацию о том, как найти IP-адрес веб-сайта, можно найти в Примере 3 этого руководства.
В этом примере вам нужно создать три правила для «Домашнего сегмента». Сначала мы создадим правило разрешения, которое определяет исходный IP-адрес (IP-адрес компьютера, к которому вы хотите разрешить доступ), целевой IP-адрес (IP-адрес веб-сайта, к которому вы хотите разрешить доступ), и типы протоколов HTTP и HTTPS.
Затем мы создадим правило запрета, в котором мы укажем исходный IP-адрес (IP-адрес компьютера, который будет отказано в доступе) и тип протокола TCP (для блокировки доступа в Интернет).
Пример 5. Разрешить доступ в Интернет из локальной сети только по указанным протоколам (службам).
Разрешим локальным компьютерам выход в Интернет только через HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS и блокировать весь другой трафик.
В этом примере вам нужно создать правила для «Домашнего сегмента». Первым делом создадим Allow rules, где в полях Source IP и Destination IP указываем значение Any, а в поле Protocol выбираем необходимый тип протокола (службы) из списка. . Затем мы создаем два запрещающих правила, в которых мы устанавливаем значение «Любой» в полях «Исходный IP-адрес» и «Целевой IP-адрес», а в поле «Протокол» – значения TCP и UDP для блокировки доступа в Интернет.
ПРИМЕЧАНИЕ: Важно! Для корректной работы Интернета необходимо наличие службы доменных имен (TCP/53, UDP/53), которая позволяет преобразовывать символические имена сайтов/доменов в IP-адреса (и наоборот).
В нашем примере у нас есть следующий набор правил брандмауэра:
Пример 6. Разрешить удаленное управление интернет-центром Keenetic.
ПРИМЕЧАНИЕ. Важно! Доступ к интернет-центру Keenetic (его веб-интерфейсу) из внешней сети (Интернет) по умолчанию заблокирован. Это реализовано для безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен при наличии общедоступного IP-адреса на внешнем интерфейсе (WAN), через который маршрутизатор подключается к глобальная сеть. Чтобы получить доступ к маршрутизатору с частным IP-адресом, вам следует использовать службу KeenDNS..
В этом примере мы создадим правило брандмауэра для обеспечения удаленного управления маршрутизатором из Интернета (в частности, для подключения к веб-интерфейсу устройства).
Мы также разрешим ICMP запросы ping из Интернета (это позволит вам проверить доступность устройства в сети).
Для повышения безопасности мы разрешим удаленное управление и ping из внешней сети из определенной общедоступной Только IP-адрес (в нашем примере с IP-адреса 93.94.95.96).
ПРИМЕЧАНИЕ. Важно! Если вы используете общедоступный IP-адрес, мы не рекомендуем разрешение доступа к веб-интерфейсу Keenetic и разрешение запросов ping для всех пользователей из общедоступной (глобальной) сети.
В этом примере нам нужно создать правила для внешнего сетевого интерфейса «Provider». Это означает интерфейс, через который вы выходите в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и т. Д.).
Мы создадим правило разрешения, в котором заполняем «IP-адрес источника». (публичный IP-адрес компьютера, к которому будет разрешен доступ из Интернета) и в поле «Протокол» выберите «TCP/80 (HTTP)».
Затем мы создадим аналогичное правило, но для протокола ICMP (для утилиты ping).
Таким образом, проверка связи интернет-центра Keenetic (через ICMP) и доступ к его веб-интерфейсу (через HTTP) будет возможно из Интернета только с определенного IP-адреса.
ПРИМЕЧАНИЕ: Важно! В веб-браузере вам необходимо использовать общедоступную глобальную сеть. IP-адрес интернет-центра в глобальной сети для доступа к его веб-интерфейсу (вы можете увидеть его в веб-интерфейсе интернет-центра на стартовой странице «Системная панель» на информационной панели «Интернет», нажав «Подробнее» в e строка «IP-адрес»). Адрес в браузере должен начинаться с http://, то есть с http://IP-адреса (например, http://89.88.87.86).
Пример 7. Блокировать доступ в Keenetic с IP-адресов определенной подсети Интернет или внешней сети.
Представьте, что вы обнаружили частые попытки доступа (атаки) к WAN-порту маршрутизатора из неизвестных IP-адреса из Интернета. Например, попытки подключения происходят с разных IP-адресов, но все они принадлежат одной и той же подсети 115.230.121.x.
В этом случае на внешнем интерфейсе интернет-центра ‘Provider’ (или другом через который осуществляется выход в Интернет) необходимо заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.
Создадим правила Deny для TCP/UDP/ICMP (ping) трафик, где мы должны установить значение «Subnet» как «Source IP» и указать адрес и маску подсети. При использовании маски подсети с префиксом/24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в этом примере это 115.230.121.0)..
Пример 8. Разрешить доступ RDP только с определенного внешнего IP-адреса.
Предположим, что интернет-центр Keenetic использует правило переадресации портов, чтобы разрешить подключение из Интернета к домашний компьютер через RDP (TCP/3389). Однако в этом случае порт будет открыт для любого IP-адреса из Интернета. Рекомендуется разрешать доступ RDP с определенного внешнего IP-адреса только в целях безопасности. Это можно сделать с помощью правил брандмауэра на внешнем интерфейсе, через который осуществляется доступ в Интернет.
Создайте правило разрешения для доступа с определенного IP-адреса на TCP-порт 3389, а затем создайте правило запрета для всех IP-адреса на TCP-порту 3389.
В нашем примере разрешены только подключения с общедоступного IP-адреса 93.94.95.96.
ПРИМЕЧАНИЕ. Важно! Если вы настроили сопоставление портов назначения в правиле переадресации (например, от 4389 до 3389), в правиле брандмауэра вы должны указать фактический номер порта назначения, используемый на сервере в локальной сети, то есть 3389.
СОВЕТ: Примечание
Вопрос: Можно ли заблокировать трафик между двумя узлами в локальной сети с помощью правил межсетевого экрана?
Ответ: Межсетевой экран не может блокировать трафик между два хоста в одной локальной сети, потому что хосты находятся в одном сегменте, и связь между ними происходит на втором уровне модели OSI. Брандмауэр работает на уровне 3 модели OSI.
Трафик можно заблокировать только между узлами в разных сегментах сети – включив функцию «изолировать-частный» (блокирует все коммуникации между сегментами) или используя отдельные правила брандмауэра, блокирование доступа только для некоторых хостов.
Что делать, если переадресация портов не работает
ПРИМЕЧАНИЕ: Важно!
1. При настройке переадресации портов необходимо иметь общедоступный IP-адрес на WAN-интерфейсе маршрутизатора, через который он подключается к Интернету. Если WAN-интерфейс маршрутизатора использует IP-адрес из частной подсети, переадресация портов работать не будет.
2. Чтобы проверить, работает ли переадресация портов, необходимо получить доступ к WAN-интерфейсу маршрутизатора из Интернета. Перенаправление портов не будет работать при доступе из локальной сети.
3. Служба или приложение, в которое выполняется переадресация портов, должны быть запущены, чтобы порт можно было увидеть «открытым» во время проверки. Например, если FTP-сервер не запущен и даже если существует правило NAT для переадресации портов, статус порта будет «закрыт» во время проверки..
СОВЕТ: Совет: Вы можете использовать специальные интернет-сервисы, предназначенные для проверки открытости портов. Например https://hidemyna.me/en/ports/, https://www.whatsmyip.org/port-scanner/и т. Д.
Ниже приведены типичные причины, которые могут привести к неработоспособности переадресации портов, несмотря на правильную конфигурацию.
1. В правиле переадресации портов входящий интерфейс выбран неправильно. В поле «Вход» выберите интерфейс, через который ваш интернет-центр имеет доступ к Интернету и через который вы планируете удаленный доступ к устройству домашней сети.
В большинстве случаев вам следует выбрать интерфейс «Провайдер». Если у вас есть подключение к Интернету через PPPoE, PPTP или L2TP, вы должны выбрать соответствующее соединение. При подключении к Интернету через USB-модем 3G/4G необходимо указать это подключение, а при подключении через WISP выбрать подключение с именем сети, к которой подключен Keenetic.
2 . Ваш компьютер использует брандмауэр или специальное программное обеспечение для защиты в Интернете. Временно отключите это приложение и убедитесь, что переадресация портов работает правильно.
3. Некоторые интернет-провайдеры в своей сети используют «скрытый NAT». Вам необходимо убедиться, что вы выходите в Интернет с того IP-адреса, который вам предоставил ваш провайдер и который используется в интерфейсе Keenetic WAN. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на самом деле он выходит в Интернет с другим IP-адресом. Обратитесь на myip.net. Если ваш IP-адрес отличается от того, который используется на интерфейсе Keenetic WAN, переадресация портов работать не будет.
4. Некоторые интернет-провайдеры фильтруют входящий пользовательский трафик по стандартным протоколам и портам. Например, они могут фильтровать порт 21/FTP, 80/HTTP, 25/POP3, 1723/PPTP и другие порты). Необходимо точно знать, блокирует ли провайдер трафик на каких-либо портах.
Если есть такая возможность, вам необходимо изменить номер порта и вручную установить другой порт, который не будет заблокирован вашим провайдером (для Например, когда порт 21 заблокирован, на FTP-сервере вы можете использовать порт 2121).
Если нет возможности изменить номер порта службы, вы можете использовать сопоставление портов в правиле переадресации портов в вашем Keenetic. Дополнительную информацию можно найти в статье «Перенаправление портов».
5. В сетевых настройках хоста, на который перенаправляются порты, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это тот случай, если вы вручную укажете настройки сетевого подключения на хосте. Если хост является клиентом DHCP, т.е. он автоматически получает IP-адрес, маску подсети, шлюз по умолчанию и адреса DNS, то шлюз по умолчанию будет равен локальному IP-адресу маршрутизатора Keenetic.
6. Некоторые подробности переадресации портов для игровых консолей Xbox и PS4 представлены в статье «Использование Xbox и PS4 с маршрутизатором Keenetic».
7. В операционной системе KeeneticOS логика NAT реализована в соответствии с RFC 4787 «Требования к поведению трансляции сетевых адресов (NAT) для одноадресного UDP». В частности, по умолчанию исходный порт UDP изменяется на любой другой порт, кроме исходного, при прохождении NAT. Это может вызвать проблемы с прохождением UDP-трафика через NAT для некоторых интернет-провайдеров, которые не знают об этом RFC. В этом случае попробуйте выполнить команды в интерфейсе командной строки (CLI) маршрутизатора:
ip nat udp-port-preserve
сохранение конфигурации системы
8. При перенаправлении порта 53 на внутренний DNS-сервер следует учитывать, что при наличии активных компонентов Интернет-безопасности происходит преобразование исходного сетевого адреса (SNAT) пересылаемых пакетов, поэтому исходный адрес меняется на IP-адрес интернет-центра в доме. сетевой сегмент. Из-за этого зоны DNS могут не синхронизироваться. Поэтому при использовании собственного DNS-сервера в домашней сети мы рекомендуем удалить компоненты Интернет-безопасности или изменить номер порта.
9. Если приведенные выше рекомендации не помогли и по какой-то причине переадресация портов все еще не работает, вы можете связаться с нашей службой технической поддержки и прикрепить файл самопроверки. Информацию о том, как это сделать, можно найти в статье «Сохранение файла самопроверки».
СОВЕТ: Совет. В интернет-центрах есть возможность организовать доступ к маршрутизатору даже с частным IP-адресом на внешнем WAN-интерфейсе маршрутизатора. KeenDNS – полезный сервис доменных имен для удаленного доступа. С помощью этого сервиса вы можете решить 2 задачи:
– Удаленный доступ к веб-интерфейсу интернет-центра. Информацию можно найти в статье «Служба KeenDNS»;
– Удаленный доступ к ресурсам (службам) домашней сети или на роутере Keenetic. Например, доступ к устройству с веб-интерфейсом – сетевому диску, веб-камере, серверу или торрент-клиенту Transmission, работающему в маршрутизаторе. Этот вариант описан в статье «Пример удаленного доступа к ресурсам домашней сети с помощью KeenDNS».