Вопрос: Примеры использования функций Outbound Filter, Inbound Filter на DSL-2xxxU/BRU/C

Ответ: 

Функция IP Filtering позволяет фильтровать проходящий через маршрутизатор трафик по IP-адресам и портам. Рассмотрим некоторые примеры.

Пример 1
Задача. В локальной сети (см. рис.1) три компьютера, необходимо запретить доступ в Интернет одному из них (PC1).

Рис. 1. Использование Outgoing Filter. Схема сети.

Решение.
1. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing» и нажмите на кнопку «Add» для создания нового правила.

Примечание!
Если раздел Security в меню отсутствует, проверьте настройки WAN-интерфейса и убедитесь в том, что модем настроен на работу в режиме маршрутизатора.

2. Заполните поля.
Filter Name — здесь необходимо задать произвольное название правила.
Protocol — здесь необходимо выбрать протокол, который будет блокироваться (TCP, UDP, TCP и UDP, ICMP или все).
Source IP Address —IP-адреса источника, или первый IP-адрес (если используется диапазон IP-адресов).
Source Subnet Mask (or end ip address) – Маска сети или конечный IP-адрес.
Source Port Type — порт источника.
Destination IP Address — IP-адрес назначения.
Destination Subnet Mask (or end ip address) - Маска сети или конечный IP-адрес.
Destination Port Type — порт назначения.

Для данного примера необходимо запретить доступ только для PC1, поэтому правило будет таким:

Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.1.2
Source Subnet Mask (or end ip address): оставляем поле пустым
Source Port Type: оставляем поле пустым
Destination IP address: оставляем поле пустым
Destination Subnet Mask (or end ip address): оставляем поле пустым
Destination Port: оставляем поле пустым

После заполнения всех полей нажмите кнопку «Save/Apply».

3.Правило создано, теперь остается сохранить настройки и перезагрузить маршрутизатор. «Management > Save/Reboot > Save/Reboot».

Пример 2

Задача. В локальной сети (см. рис.1) три компьютера, необходимо запретить доступ в Интернет всем компьютерам, кроме одного (PC1).

Решение. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.1.3
Source Subnet Mask (or end ip address): 192.168.1.254
Source Port Type: оставьте поле пустым
Destination IP address: оставьте поле пустым
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым

Поскольку, IP- адрес компьютера PC1 не входит в диапазон адресов 192.168.1.3 — 192.168.1.254, Интернет будет доступен только компьютеру PC1.

Пример 3

Задача. В локальной сети (см. рис.2) три компьютера. В Интернете находится сервер с IP-адресом 84.25.40.25. Необходимо всем компьютерам запретить к нему доступ.

Рис. 2. Использование Outgoing Filter. Схема сети.

Решение. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Создайте правило:

Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 84.25.40.25
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым

Пример 4

Задача. В локальной сети (см. рис.2) три компьютера. Необходимо всем компьютерам запретить получение почты через POP3 протокол.

Решение. Для этого запретите соединения на 110 порт. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Здесь создайте правило:

Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: оставьте поле пустым
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: 110

Пример 5

Задача. В локальной сети (см. рис.2) три компьютера. В Интернете находится сервер с IP-адресом 84.25.40.25. Необходимо заблокировать Интернет на всех компьютерах, но при этом разрешить доступ только на этот сервер.

Решение. Для этого правила измените глобальную политику с разрешения (Accept) на запрет (Block).
Зайдите в раздел «Advanced Setup->Security->IP Filtering», выбирите пункт «Outgoing».
Нажмите на «change default policy».

В окне видно, что глобальная политика сменилась на «Block»:

Создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 84.25.40.25
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым

Пример 6. Использование «Incoming Filter»

Задача. Схема сети представлена на рис. 3. Необходимо для компьютера PC4 разрешить доступ к компьютеру PC2. На PC4 для этого заведомо прописан статический маршрут в подсеть 192.168.1.0/24 через шлюз 192.168.100.254.

Рис.3. Использование «Incoming Filter». Схема сети.

Решение. По умолчанию все соединения со стороны WAN блокируются. С помощью правил «Incoming Filter можно разрешать проходящий через роутер трафик в LAN со стороны WAN по IP-адресам и портам.

1. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Incoming» и нажмите на кнопку «Add» для создания нового правила.

2. Создайте правило.

Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.100.88
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 192.168.1.3
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым

Ниже следует выбрать WAN-интерфейс, для которого будет выполняться правило. Установленная галочка «Select All» указывает на то, что правило будет выполняться на всех созданных WAN-интерфейсах. Далее нажмите кнопку «Save/Apply».

3. Готово. Теперь остается сохранить настройки и перезагрузить маршрутизатор. «Management > Save/Reboot > Save/Reboot».

Для проверки работоспособности правила отправьте ping с компьютера PC4 на компьютер PC2.

ministre@musicals:~$ ping 192.168.1.3
PING 192.168.1.3 (192.168.1.3) 56(84) bytes of data.
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.229 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.226 ms
64 bytes from 192.168.1.3: icmp_seq=3 ttl=64 time=0.224 ms
64 bytes from 192.168.1.3: icmp_seq=4 ttl=64 time=0.223 ms


--- 192.168.1.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.223/0.225/0.229/0.015 ms
ministre@musicals:~$