Налаштування правил міжмережевого екрана, що використовують діапазони IP-адрес
Розглянемо конкретні приклади налаштування правил міжмережевого екрана на Keenetic, коли потрібно використовувати діапазон IP-адрес.
Теоретичну інформацію, що описує, як працює міжмережевий екран, і приклади, дивіться в статтях Як працює міжмережевий екран? та Приклади правил міжмережевого екрану.
Під час створення правил міжмережевого екрана через вебінтерфейс ви можете вибрати Підмережу на основі маски підмережі в полі IP-адреса джерела/IP-адреса призначення.
Маска підмережі дозволяє розділити мережу на кілька менших мереж (підмереж), кожна з яких має певну кількість адрес для хостів. Підмережа - це логічний поділ IP-мережі. Усі хости в одній мережі або підмережі мають однакову маску підмережі.
Нижче наведено таблицю, що показує кількість підмереж і хостів для 24-бітної маски (255.255.255.0) для мережі класу C:
Маска підмережі | Префікс | Кількість підмереж | Кількість адрес для хостів підмережі |
|---|---|---|---|
255.255.255.128 | /25 | 2 | 126 |
255.255.255.192 | /26 | 4 | 62 |
255.255.255.224 | /27 | 8 | 30 |
255.255.255.240 | /28 | 16 | 14 |
255.255.255.248 | /29 | 32 | 6 |
255.255.255.252 | /30 | 64 | 2 |
Маска 255.255.255.0 (/24) визначає всю підмережу класу C, тобто 254 адреси, тогда як 255.255.255.255 (/32) дозволяє вказати один мережевий вузол.
В Інтернеті є багато онлайн-калькуляторів IP-адрес (наприклад, https://ipnet.tools/ip-calculator), які дозволяють швидко розраховувати IP-адреси та маски підмереж.
Розглянемо кілька прикладів.
1.1. Припустимо, вам потрібно заборонити доступ за протоколом TCP для хостів локальної мережі з IP-адресами в діапазоні 192.168.100.33 – 192.168.100.46 (14 хостів).
Правило міжмережевого екрана для нашого прикладу виглядатиме так (правило застосовується до інтерфейсу Home):
Підмережа 192.168.100.32 з маскою 255.255.255.240 (/28) дозволяє виділити логічну підмережу з 14 робочими адресами (IP-адреса першого хоста - 192.168.100.33, IP-адреса останнього хоста - 192.168.100.46).
1.2. Припустимо, ви хочете використовувати в правилах діапазон IP-адрес 192.168.1.65 — 192.168.1.126 (62 хости). У цьому випадку слід використовувати маску мережі 255.255.255.192 (/26). У правилі міжмережевого екраna потрібно вказати адресу 192.168.1.64 та маску 255.255.255.192.
1.3. Припустимо, що правила вимагають використання діапазону IP-адрес 192.168.1.201 — 192.168.1.206 (6 хостів). У цьому випадку слід використовувати маску мережі 255.255.255.248 (/29). У правилі міжмережевого екрана вкажіять адресу 192.168.1.200 та маску 255.255.255.248.
Підказка
Якщо вам потрібно використовувати ширший діапазон IP-адрес, який неможливо виділити однією маскою (наприклад, 192.168.1.33 — 192.168.1.70), ви можете використовувати кілька правил міжмережевого екрана: перше правило для IP-адреси 192.168.100.32 та маски 255.255.255.224, а друге правило для IP-адреси 192.168.100.64 з маскою 255.255.255.248.
Важливо
Якщо ви використовуєте правила, що дозволяють, і правила, що забороняють, у вашому наборі правил міжмережевого екрана, правила, що дозволяють, повинні розташовуватися над правилами, що забороняють. Спочатку створіть правила, що дозволяють, для певних адрес або підмереж, а потім створіть правила, що забороняють.