Міжмережевий екран
Для захисту вашої домашньої мережі від атак та вторгнень з Інтернету в маршрутизаторах Keenetic за замовчуванням активовано міжмережевий екран.
У більшості випадків налаштувань за замовчуванням достатньо для безпеки, і додаткове налаштування міжмережевого екрану не потрібне. Але якщо це необхідно для якихось конкретних завдань, Keenetic надає гнучкі можливості налаштувань безпеки, щоб дозволити або заборонити доступ до певних хостів або мережевих служб.
Важливо
За замовчуванням ваша домашня мережа захищена від зовнішніх атак, а доступ до керування маршрутизатором (вебінтерфейсу) з Інтернету заблоковано.
Міжмережевий екран можна розглядати як набір попередньо налаштованих і визначених користувачем фільтрів, при цьому правила, встановлені користувачем, мають вищий пріоритет.
Правила міжмережевого екрану виконуються в тому порядку, в якому вони вказані в списку: верхнє — першим, а потім униз по списку. Для будь-якого правила має бути визначений інтерфейс (з'єднання), на якому воно буде виконуватися.
У кожному правилі має бути зазначено:
Мережа джерела трафіку та його призначення (IP-адреси хостів або підмереж);
Протокол, для якого працюватиме правило (TCP, UDP, ICMP тощо);
Для протоколів TCP і UDP необхідно вказати номер порту;
Дія, яку потрібно виконати над пакетом: Заборонити або Дозволити.
Важливо
У маршрутизаторах Keenetic правила міжмережевого екрану обробляються після правил трансляції мережевих адрес (NAT). Тому при створенні правил міжмережевого екрану слід вказувати IP-адресу хоста після трансляції адреси.
Вебконфігуратор Keenetic пропонує найзручніший спосіб керування правилами міжмережевого екрану.
Важливо
Правила, створені через вебконфігуратор, застосовуються лише до вхідного трафіку зовнішнього (WAN) або локального (LAN) інтерфейсу.
Можна створювати правила для будь-якого напрямку через інтерфейс командного рядка (CLI) маршрутизатора.
Налаштування правил міжмережевого екрану здійснюється на сторінці 'Міжмережевий екран'.
Щоб додати правило міжмережевого екрану, виберіть зі списку інтерфейс, де відстежуватиметься вхідний трафік, і натисніть 'Додати правило'. Правила застосовуються в тому порядку, в якому вони розташовані в списку. Щоб змінити порядок правил, перетягніть рядки в таблиці.
Важливо
Правила слід створювати для інтерфейсу, куди надходить відфільтрований трафік (ініціюючи сеанс).
У вікні 'Правило міжмережевого екрану', що з’явиться, виберіть дію, яку потрібно виконати для вхідних пакетів, і вкажіть умови, за яких ця дія має виконуватися. У нашому прикладі для інтерфейсу 'Домашня мережа' ми створимо правило 'Заборонити', де вкажемо IP-адресу джерела (IP-адресу комп’ютера, доступ якому буде заборонено). В результаті це правило заблокує доступ до Інтернету лише для одного хоста в локальній мережі з IP-адресою 192.168.1.35.
У полі 'Дія' виберіть дію — 'Дозволити' трафік або 'Заборонити', а потім укажіть критерії та умови, за збігом з якими ці дії будуть виконуватися.
У полі 'Розклад роботи' ви можете додати розклад, відповідно до якого це правило буде працювати.
Важливо
Створюючи правила блокування, дозвільні правила повинні розміщуватися над заборонними.
У нашому прикладі для інтерфейсу Домашня мережа було створено таке правило 'Заборонити':
Підказка
Рекомендуємо вам прочитати інструкції:
Починаючи з KeeneticOS
2.14, у веб-конфігураторі реалізовано групове копіювання, переміщення та видалення правил міжмережевого екрану: Копіювання, переміщення та видалення кількох правил міжмережевого екрануКоли слід використовувати переадресацію портів і правила міжмережевого екрану?