Межсетевой экран
Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран.
В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана. Пользовательскими настройками можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети.
Важно
По умолчанию домашняя сеть защищена от атак извне и доступ к управлению интернет-центром (к веб-конфигуратору) из Интернета заблокирован.
Упрощенно, сетевой экран можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения.
Правила сетевого экрана выполняются в порядке их указания по списку: первое верхнее и далее вниз. Для любого правила должен быть определён интерфейс (подключение), на котором они будут выполняться.
В каждом из правил должны быть указаны:
сети источника трафика и его назначения (IP-адреса хостов или подсетей);
протокол, для которого будет действовать настройка (TCP, UDP, ICMP и др.);
для протоколов TCP и UDP обязательно должен быть указан номер порта;
действие, которое нужно выполнить над пакетом: Запретить или Разрешить.
Важно
В интернет-центрах Keenetic правила сетевого экрана обрабатываются после правил трансляции сетевых адресов (NAT). Поэтому при создании правил межсетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов.
Веб-конфигуратор интернет-центра предлагает наиболее удобный способ управления правилами межсетевого экрана.
Важно
Созданные через веб-конфигуратор правила применяются только к входящему трафику публичного (WAN) или локального (LAN) интерфейса.
Через интерфейс командной строки (CLI) интернет-центра возможно создавать правила для любого направления.
Настройка правил сетевого экрана производится на странице "Межсетевой экран".
Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик, и нажмите "Добавить правило". Правила применяются в том порядке, в каком они расположены в списке. Чтобы изменить порядок правил, перетащите строки в таблице.
Важно
Правила следует создавать для интерфейса, на котором фильтруемый трафик является входящим (инициирующим сессию).
В появившемся окне "Правило межсетевого экрана" выберите действие, которое нужно выполнить для входящих пакетов, и укажите условия, при которых это действие должно быть выполнено. В нашем примере для интерфейса "Домашняя сеть" создадим запрещающее правило, в котором укажем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ). В результате этого правила будет заблокирован доступ в Интернет только для одного хоста локальной сети с IP-адресом 192.168.1.35
.
В поле "Действие" выберите действие — "Разрешить" прохождение трафика или "Запретить", и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться.
В поле "Расписание работы" можно добавить расписание, по которому будет работать данное правило.
Важно
При создании отсеивающих фильтров, разрешающие правила должны располагаться выше запрещающих.
В нашем примере было создано следующее запрещающее правило для интерфейса "Домашняя сеть":
Подсказка
Рекомендуем ознакомиться с инструкциями:
С версии KeeneticOS
2.14
в веб-конфигураторе реализовано групповое копирование, перемещение и удаление правил межсетевого экрана: "Копирование, перемещение и удаление нескольких правил межсетевого экрана""В каких случаях следует использовать правила переадресации портов и межсетевого экрана?"