Ответ:
Функция IP Filtering позволяет фильтровать проходящий через маршрутизатор трафик по IP-адресам и портам. Рассмотрим некоторые примеры.
Пример 1
Задача. В локальной сети (см. рис.1) три компьютера, необходимо запретить доступ в Интернет одному из них (PC1).
Рис. 1. Использование Outgoing Filter. Схема сети.
Решение.
1. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing» и нажмите на кнопку «Add» для создания нового правила.
Примечание!
Если раздел Security в меню отсутствует, проверьте настройки WAN-интерфейса и убедитесь в том, что модем настроен на работу в режиме маршрутизатора.
2. Заполните поля.
Filter Name — здесь необходимо задать произвольное название правила.
Protocol — здесь необходимо выбрать протокол, который будет блокироваться (TCP, UDP, TCP и UDP, ICMP или все).
Source IP Address —IP-адреса источника, или первый IP-адрес (если используется диапазон IP-адресов).
Source Subnet Mask (or end ip address) – Маска сети или конечный IP-адрес.
Source Port Type — порт источника.
Destination IP Address — IP-адрес назначения.
Destination Subnet Mask (or end ip address) - Маска сети или конечный IP-адрес.
Destination Port Type — порт назначения.
Для данного примера необходимо запретить доступ только для PC1, поэтому правило будет таким:
Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.1.2
Source Subnet Mask (or end ip address): оставляем поле пустым
Source Port Type: оставляем поле пустым
Destination IP address: оставляем поле пустым
Destination Subnet Mask (or end ip address): оставляем поле пустым
Destination Port: оставляем поле пустым
После заполнения всех полей нажмите кнопку «Save/Apply».
3.Правило создано, теперь остается сохранить настройки и перезагрузить маршрутизатор. «Management > Save/Reboot > Save/Reboot».
Пример 2
Задача. В локальной сети (см. рис.1) три компьютера, необходимо запретить доступ в Интернет всем компьютерам, кроме одного (PC1).
Решение. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.1.3
Source Subnet Mask (or end ip address): 192.168.1.254
Source Port Type: оставьте поле пустым
Destination IP address: оставьте поле пустым
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым
Поскольку, IP- адрес компьютера PC1 не входит в диапазон адресов 192.168.1.3 — 192.168.1.254, Интернет будет доступен только компьютеру PC1.
Пример 3
Задача. В локальной сети (см. рис.2) три компьютера. В Интернете находится сервер с IP-адресом 84.25.40.25. Необходимо всем компьютерам запретить к нему доступ.
Рис. 2. Использование Outgoing Filter. Схема сети.
Решение. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 84.25.40.25
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым
Пример 4
Задача. В локальной сети (см. рис.2) три компьютера. Необходимо всем компьютерам запретить получение почты через POP3 протокол.
Решение. Для этого запретите соединения на 110 порт. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Outgoing». Здесь создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: оставьте поле пустым
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: 110
Пример 5
Задача. В локальной сети (см. рис.2) три компьютера. В Интернете находится сервер с IP-адресом 84.25.40.25. Необходимо заблокировать Интернет на всех компьютерах, но при этом разрешить доступ только на этот сервер.
Решение. Для этого правила измените глобальную политику с разрешения (Accept) на запрет (Block).
Зайдите в раздел «Advanced Setup->Security->IP Filtering», выбирите пункт «Outgoing».
Нажмите на «change default policy».
В окне видно, что глобальная политика сменилась на «Block»:
Создайте правило:
Filter Name: myrule
Protocol: ALL
Source IP address: оставьте поле пустым
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 84.25.40.25
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым
Пример 6. Использование «Incoming Filter»
Задача. Схема сети представлена на рис. 3. Необходимо для компьютера PC4 разрешить доступ к компьютеру PC2. На PC4 для этого заведомо прописан статический маршрут в подсеть 192.168.1.0/24 через шлюз 192.168.100.254.
Рис.3. Использование «Incoming Filter». Схема сети.
Решение. По умолчанию все соединения со стороны WAN блокируются. С помощью правил «Incoming Filter можно разрешать проходящий через роутер трафик в LAN со стороны WAN по IP-адресам и портам.
1. Зайдите в раздел «Advanced Setup->Security->IP Filtering», выберите пункт «Incoming» и нажмите на кнопку «Add» для создания нового правила.
2. Создайте правило.
Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.100.88
Source Subnet Mask (or end ip address): оставьте поле пустым
Source Port Type: оставьте поле пустым
Destination IP address: 192.168.1.3
Destination Subnet Mask (or end ip address): оставьте поле пустым
Destination Port: оставьте поле пустым
Ниже следует выбрать WAN-интерфейс, для которого будет выполняться правило. Установленная галочка «Select All» указывает на то, что правило будет выполняться на всех созданных WAN-интерфейсах. Далее нажмите кнопку «Save/Apply».
3. Готово. Теперь остается сохранить настройки и перезагрузить маршрутизатор. «Management > Save/Reboot > Save/Reboot».
Для проверки работоспособности правила отправьте ping с компьютера PC4 на компьютер PC2.
ministre@musicals:~$ ping 192.168.1.3
PING 192.168.1.3 (192.168.1.3) 56(84) bytes of data.
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.229 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.226 ms
64 bytes from 192.168.1.3: icmp_seq=3 ttl=64 time=0.224 ms
64 bytes from 192.168.1.3: icmp_seq=4 ttl=64 time=0.223 ms
--- 192.168.1.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.223/0.225/0.229/0.015 ms
ministre@musicals:~$