Skip to main content

Руководство пользователя

Пример настройки межсетевого экрана, чтобы при переходе на резервный канал только определенные устройства могли выходить в Интернет

Одна из стандартных схем применения интернет-центра, когда он подключен по проводу к основному интернет-каналу, а также использует резервное подключение через 3G/4G-модем.

Логика работы интернет-центра в такой схеме будет следующей: роутер постоянно проверяет доступность Интернета на основном канале (Ethernet-подключение к провайдеру), и при отсутствии соединения он автоматически перейдет на использование резервного подключения к Интернету через модем оператора мобильной связи 3G/4G. Затем, при появлении Интернета на основном соединении, интернет‑центр вернется на работу с основным каналом. Но в этой схеме на резервное подключение перейдут все клиенты, подключеные к роутеру. А так как рассматриваемое нами резервное подключение происходит через сеть оператора сотовой связи, возникает вопрос экономии трафика.

Ниже рассмотрим пример настройки межсетевого экрана на роутере, чтобы при переходе на резервное подключение только определенные сетевые клиенты могли получить доступ в Интернет, а для всех остальных заблокировать доступ.

В настройках межсетевого экрана нужно создать правила для резервного интерфейса. В нашем примере в роли резервного подключения используется встроенный модем 3G/4G, но также это может быть дополнительный USB-модем. При подключении 3G/4G-модема к роутеру по умолчанию создается интерфейс типа UsbLte0 (название интерфейса может быть другим, это зависит от типа подключаемого модема). На этом интерфейсе мы создадим 3 правила — два для предоставления доступа устройствам с IP-адресами 192.168.1.142 и 192.168.1.143, и одно правило для запрета доступа всем остальным клиентами.

fw-rules-out-01-en.png

Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес клиента, которому будет разрешен доступ) и тип протокола TCP.

fw-rules-out-02-en.png

Если вы хотите разрешить доступ нескольким клиентам, создайте аналогичные правила для нужных клиентов.

Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.

fw-rules-out-03-en.png

Дальнейшая настройка возможна двумя способами: с помощью редактирования файла конфигурации роутера или из интерфейса командной строки (CLI) роутера.

Способ 1. Редактирование файла конфигурации роутера.

1.1 Перейдите на страницу Общие настройки системы в раздел Системные файлы. Найдите файл startup-config. Это текстовый файл с пользовательскими настройками, которые выполняются при запуске интернет-центра. Сохраните его на компьютере для дальнейшей небольшой правки.

Нажмите по записи файла startup-config и затем кнопку Сохранить на компьютер. Файл будет загружен веб-браузером. Если появится окно сохранения файла, укажите местоположение (папку, в которую будет сохранен файл) и нажмите Сохранить или OK.

fw-rules-out-04-en.png

1.2 Откройте файл конфигурации startup-config для редактирования в любом текстовом редакторе, например в Блокноте. Затем найдите секцию конфигурации интерфейса резервного провайдера (в нашем примере это UsbLte0) и в строке ip access-group замените слово in на out. После чего сохраните файл.

В нашем примере в строке

ip access-group _WEBADMIN_UsbLte0 in

слово in было заменено на out и получилась строка

ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-05-en.png
fw-rules-out-06-en.png

Обязательно сохраните изменения в файле.

1.3 Теперь отредактированный системный файл startup-config нужно записать (загрузить) в интернет-центр. Для этого нажмите кнопку Заменить файл и укажите путь к файлу конфигурации.

fw-rules-out-07-en.png

После загрузки файла startup-config интернет-центр автоматически перезагрузится. Дождитесь полного включения устройства.

Теперь, при активации резервного подключения, межсетевой экран интернет-центра разрешит доступ в Интернет только определенным клиентам, а остальным заблокирует доступ.

Способ 2. Настройка из интерфейса командной строки (CLI) роутера или webcli.

Аналогичную настройку, которая была показана в способе 1, можно выполнить с помощью специальных команд.

Подключитесь к интерфейсу командной строки или webcli. Сначала выполните команду:

no interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 in
fw-rules-out-08-en.png

Затем выполните команду:

interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-09-en.png

Параметр in или out указывает направление трафика, для которого будет применяться ACL.

in — применить фильтрацию к входящим пакетам

out — применить фильтрацию к исходящим пакетам

Для решения нашей задачи нужно на резервном интерфейсе установить фильтрацию к исходящим сетевым пакетам.

Дополнительную информацию вы найдете в статье Как реализован межсетевой экран?

Для сохранения настройки обязательно выполните команду:

system configuration save

Полный синтаксис команд вы найдете в справочнике командного интерфейса (CLI) в разделе ???.

В этом разделе: