Налаштування інтернет-центру для блокування доступу домашньої мережі до певного веб-ресурсу (для версій NDMS 2.11 і більш ранніх)

NOTE: В даній статті показана настройка версій ОС NDMS 2.11 і більш ранніх. Налаштування актуальної версії ПЗ представлена ​​в статті " Як заблокувати доступ до певного сайту? ".

Необхідно відключити доступ для всієї домашньої мережі на певний веб-сайт. Як в інтернет-центрі налаштувати блокування доступу для всієї домашньої мережі до певного веб-ресурсу?

У даній статті ми розглянемо приклад блокування доступу пристроїв локальної мережі до певного веб-ресурсу (сайту) Інтернету.

Детальний опис роботи з фаєрволом в інтернет-центрах серії Keenetic представлено в статті: «Опис роботи з фаєрволом»

Різні приклади використання правил брандмауера в інтернет-центрах серії Keenetic можна знайти в статті: «Використання правил брандмауера»
Один з найпростіших способів заблокувати доступ до веб-сайту - скористатися сервісом SkyDNS (додаткову інформацію можна знайти в статті: «Захист домашньої мережі і фільтрація контенту за допомогою сервісу SkyDNS» ).

Отже, заблокуємо доступ пристроїв локальної мережі до певного веб-сайту засобами інтернет-центру серії Keenetic (з мікропрограмою NDMS V2).
В налаштуваннях брандмауера при створенні правил можна використовувати тільки IP-адреси (можна вказати символьне ім'я домена або сайту).

Звертаємо вашу увагу, що IP-адрес у веб-сайту може бути кілька, і в цьому випадку потрібно блокувати доступ до всіх IP-адресами.

Для того щоб дізнатися IP-адресу якогось веб-сайту, можна скористатися утилітою nslookup зі складу операційної системи Windows. Зайдіть в командний рядок Windows (Пуск> Виконати> cmd) і виконайте команду nslookup xxx, де xxx - це ім'я веб-сайту.
наприклад:

C: \ Users \ 007> nslookup odnoklassniki.ru

Non-authoritative answer:
Name: odnoklassniki.ru
Address: 217.20.147.94

Отже, знаючи IP-адреса веб-сайту, можна приступити до налаштування інтернет-центру.

Увага! Правила брандмауера, що додаються в веб-інтерфейсі пристрою, діють для входять до Keenetic мережевих пакетів. Тому створене в наведеному прикладі правило блокуватиме пакети з IP-адресою призначення 217.20.147.94.

Правило з IP-адресою блокируемой мережі в поле IP-адреса призначення потрібно додати на інтерфейс домашній мережі Home network.

В цьому випадку мережевий пакет, призначений блокируемой мережі, буде відкинутий на вході в LAN-інтерфейс інтернет-центру Keenetic.

Важливо! Деякі веб-сайти крім доступу по протоколу http мають доступ до їх ресурсів з безпечного протоколу https (наприклад, сайт Однокласники доступний по http://ok.ru і https://ok.ru). Протокол https - це розширення протоколу http, що підтримує шифрування. Протокол https застосовує криптографічний протокол TLS (Transport Layer Security) або SSL (Secure Sockets Layer). Дані, що передаються по протоколу https, "упаковуються" в протокол TLS або SSL, забезпечуючи захист даних. В силу особливостей реалізації протоколу https заблокувати доступ в інтернет-центрі тільки до певних сайтів, які використовують цей протокол, не вийде. У межсетевом екрані можна заблокувати тільки весь трафік https (але в цьому випадку доступ буде заблокований до всіх сайтів https: // ****). Це можна зробити, заборонивши порт tcp / 443, тому що на відміну від http, для https за замовчуванням використовується TCP-порт 443.

Примітка

У доповненні до зазначеного вище прикладу розглянемо більш приватний випадок - приклад створення фільтра для обмеження доступу до сайту за умови резервування зв'язку. Це може бути зручно в разі високої вартості трафіку в резервному каналі, через більш низьку пропускну здатність, або в силу інших обставин.

При створенні в веб-конфігураторі забороняє правила брандмауера для підключеного до провайдера інтерфейсу з IP-адресою джерела, рівним IP-адресою сайту, воно не призведе до блокування доступу до цього сайту.

Так відбувається тому, що правила брандмауера (Firewall) в інтернет-центрі обробляються не по-пакетно, а сесіями. Таким чином, створене правило могло б заблокувати передачу трафіку від сайту до користувача, але оскільки в більшості сценаріїв користувач звертається до ресурсу сайту першим, ініціюючи цим створення сесії, відповідь від сайту буде проходити вже в рамках цієї сесії. Правило входить фільтра не зможе бути задіяно, і, отже, не призведе до блокування доступу.

Обмеження прив'язки правил фільтрації до вхідного трафіку відсутня при управлінні пристроєм через інтерфейс командного рядка (CLI).

Нехай потрібно заблокувати доступ до сайту з адресою 217.20.147.94 для хостів з Домашньої мережі, коли доступ в Інтернет здійснюється через USB-модем на інтерфейсі UsbModem0.

Для цього, в командному рядку інтернет-центру слід виконати команди:

створення списку контролю доступу

(config)> access-list _WEBADMIN_UsbModem0

включення в новий список правила фільтрації пакетів від хостів в Домашньої мережі 192.168.1.0/24 до адресою 217.20.147.94

(config-acl)> deny tcp 192.168.1.0 255.255.255.0 217.20.147.94 255.255.255.255

(config-acl)> exit

включення створеного списку на інтерфейсі модема в виходить напрямок

(config)> interface UsbModem0

(config-if)> ip access-group _WEBADMIN_UsbModem0 out

(config-if)> exit

збереження конфігурації

(config)> system config-save

Інформацію про командах по налаштуванню правил Firewall можна знайти в довіднику командного інтерфейсу (CLI) інтернет-центру, який можна знайти в розділі Центр підтримки, вибравши потрібний пристрій.