Skip to main content

Інструкція користувача

Приклад налаштування міжмережевого екрана, щоб дозволити лише певним клієнтам доступ до Інтернету під час переходу на резервний канал

Один із стандартних способів використання маршрутизатора — це коли він підключений кабелем до основного Інтернет-каналу, а також використовує резервне підключення через модем 5G/4G/3G.

Логіка цього налаштування така: маршрутизатор постійно перевіряє доступність Інтернету на основному каналі (підключення Ethernet до Інтернет-провайдера), і якщо з’єднання відсутнє, він автоматично переходить на резервне підключення до Інтернету через модем 5G/4G/3G. Потім, коли з’єднання з Інтернетом на основному підключенні відновиться, маршрутизатор повернеться до роботи з основним каналом. Однак у цій схемі всі пристрої, підключені до маршрутизатора, перейдуть на резервне підключення. А оскільки резервне підключення, яке ми розглядаємо, відбувається через мережу мобільного оператора, постає питання економії трафіку.

Нижче ми розглянемо приклад налаштування міжмережевого екрана на маршрутизаторі, щоб при переході на резервне підключення доступ до Інтернету мали лише певні мережеві клієнти, а для всіх інших доступ було заблоковано.

У налаштуваннях міжмережевого екрана нам потрібно створити правила для резервного інтерфейсу. У нашому прикладі в якості резервного підключення використовується вбудований модем 5G/4G/3G, але це також може бути USB-модем. При підключенні модему 5G/4G/3G до маршрутизатора за замовчуванням створюється інтерфейс типу UsbLte0 (назва інтерфейсу може відрізнятися в залежності від типу модему, що підключається). На цьому інтерфейсі ми створимо три правила: два для надання доступу клієнтським пристроям з IP-адресами 192.168.1.142 і 192.168.1.143 і одне правило для заборони доступу всім іншим клієнтам.

fw-rules-out-01-en.png

Спочатку створимо дозвільне правило, в якому вкажемо IP-адресу джерела (IP-адреса клієнта, якому буде дозволено доступ) і тип протоколу TCP.

fw-rules-out-02-en.png

Якщо ви хочете дозволити доступ кільком мережевим клієнтам, створіть для них аналогічні правила.

Потім ми створюємо блокувальне правило, вказавши підмережу (192.168.1.0 з маскою 255.255.255.0) в якості IP-адреси джерела і TCP в якості типу протоколу.

fw-rules-out-03-en.png

Подальше налаштування можливе двома способами: редагуванням файлу конфігурації маршрутизатора або з інтерфейсу командного рядка маршрутизатора (CLI).

Спосіб 1. Редагування файлу конфігурації маршрутизатора.

1.1 Перейдіть на сторінку Загальні налаштування системи в розділі Системні файли. Знайдіть файл startup-config. Це текстовий файл з налаштуваннями користувача, які виконуються під час запуску маршрутизатора. Збережіть його на комп'ютері для подальшого редагування.

Натисніть на запис файлу startup-config, а потім натисніть Зберегти на комп'ютер. Файл буде завантажено вашим веб-браузером. Якщо з’явиться вікно збереження файлу, вкажіть місце розташування (папку, куди буде збережено файл) і натисніть Зберегти або OK.

fw-rules-out-04-en.png

1.2 Відкрийте файл конфігурації startup-config у будь-якому текстовому редакторі, наприклад, у Блокноті. Потім знайдіть розділ конфігурації інтерфейсу резервного провайдера (у нашому прикладі це UsbLte0) і замініть слово in на out у рядку ip access-group. Потім збережіть файл.

У нашому прикладі, в рядку

ip access-group _WEBADMIN_UsbLte0 in

слово in було замінено на out, в результаті чого вийшов наступний рядок:

ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-05-en.png
fw-rules-out-06-en.png

Обов'язково збережіть зміни у файлі.

1.3 Тепер відредагований системний файл startup-config потрібно записати (завантажити) в маршрутизатор. Для цього натисніть кнопку Замінити файл і вкажіть шлях до відредагованого файлу конфігурації.

fw-rules-out-07-en.png

Після завантаження файлу startup-config маршрутизатор автоматично перезавантажиться. Зачекайте, поки пристрій повністю завантажиться.

Тепер, коли резервне з’єднання активовано, міжмережевий екран маршрутизатора дозволить доступ до Інтернету лише певним клієнтам, а для решти заблокує доступ.

Спосіб 2. Налаштування з інтерфейсу командного рядка маршрутизатора (CLI) або webcli.

Таке ж налаштування, як показано в Способі 1, можна виконати за допомогою команд.

Підключіться до інтерфейсу командного рядка або webcli. Спочатку виконайте команду:

no interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 in
fw-rules-out-08-en.png

Потім виконайте команду:

interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-09-en.png

Параметр in і out визначає напрямок трафіку, до якого буде застосовано ACL.

in — застосувати фільтрацію до вхідних пакетів

out — застосувати фільтрацію до вихідних пакетів

Щоб вирішити нашу проблему, нам потрібно налаштувати фільтрацію для вихідних мережевих пакетів на резервному інтерфейсі.

Для отримання додаткової інформації дивіться статтю How does a firewall work?

Щоб зберегти налаштування, обов'язково виконайте команду:

system configuration save

Повний синтаксис команд див. у посібнику з інтерфейсу командного рядка в Центр завантажень.

У цьому розділі: