Роутери ZyXel

Отже, уявімо, що у нас в руках якийсь ZyXel Keenetic (які компанія гордо називає інтернет-центрами) і нам потрібно розмежувати доступ в інтернет для різних хостів. Спочатку розберемося з побудовою правил загалом, а потім розберемо завдання, де потрібно парі хостів надати необмежений доступ, одному - лише доступ до віддаленого серваку, а решті наглухо закрити доступ в інтернет. Все це робиться через пункт менюБезпека->Міжмережевий екран.

Поставлені завдання можна вирішити за допомогою правил міжмережевого екрану для інтерфейсуHome Network. І все це налаштування ми проводимо у зазначеному вище пункті меню.

доступ

zyxel

роутери

Таке правило зробимо для протоколу UDP і ICMP. Все, тепер доступ до втентаклю обмежений. Це був найпростіший варіант використання Firewall-правил, тепер перейдемо до більш творчої задачі, про яку вже говорилося на початку статті.

Примітка.Принцип роботи правил міжмережевого екрану такий, що вони виконуються по порядку зверху вниз, таким чином, що дозволяють правила повинні знаходитися вгорі списку, а загальні правила для великої кількості хостів слід розташовувати внизу списку.

Для реалізації нашого завдання ми створюватимемо правила на інтерфейсіHome network (Wired and wireless hosts), тому виберемо його у відповідному меню на вкладці міжмережевого екрану.

роутери

І, як водиться, теж саме повторимо для UDP іICMPпротоколу. Тепер хост, що має IP 192.168.1.228, матиме доступ до будь-яких вузлів мережі без будь-яких обмежень.

роутери

Тепер при підключенні до роутера цей пристрій завжди будединамічно отримувати той самий IP.

Поїхали далі. У задачі було сказано, що не мати обмежень повинні два хости, тому створюємоpermit-правила(дозволяючі) для його IP, наприклад, 192.168.1.229 за тими ж трьома протоколами TCP, UDP і ICMP. Готово. Тепер нам потрібно створити правило для хоста, якому потрібно прикрити все, крім одного єдиного сайту, нехай це буде linkintel.ru (IP дізнаємося консольною командою nslookup):

доступ

zyxel

КрімTCP/53робимо також правило для протоколуUDP/53.

На додачу всього блокуємо доступ іншим хостам прямо по мережній масці.

доступ

zyxel

Не лякаємося, просто на картинці правила зроблено для інших IP.192.168.1.33та192.168.1.34мають необмежений доступ, а для192.168.1.35він порізаний.

У наведеному прикладі конфіга правила зроблені для інтерфейсу ISP, в Home все за аналогією.