Роутеры ZyXel. Правила для диапазона портов или адресов.
При создании правил Межсетевого экрана (Firewall) через веб-конфигуратор можно в поле IP-адрес источника/назначения указать Подсеть на основе масок подсетей.
А в поле Номер порта источника/назначения можно установить условие Больше чем и Меньше чем.
Эти настройки помогут использовать диапазоны IP-адресов или портов при создании правил.
Пример 1. Использование диапазонов IP-адресов в правилах межсетевого экрана.
Маска подсети позволяет разделить сеть на несколько сетей меньшего размера (на подсети) с определенным количеством адресов под хосты.
Подсеть — это логическое разделение сети IP. У всех хостов одной сети или подсети одна и та же маска подсети.
Вот как выглядит таблица количества подсетей и хостов для 24-битной маски (255.255.255.0) сети класса C:
Маска 255.255.255.0 (/24) определяет всю подсеть класса C, т.е. 254 адреса, а 255.255.255.255 (/32) позволяет указать единичный узел сети.
В Интернете можно найти большое количество онлайн сетевых IP-калькуляторов, которые позволят быстро рассчитать IP-адреса и маски подсетей.
Приведем конкретный пример.
1.1. Допустим, нужно запретить доступ по протоколу TCP хостам локальной сети из диапазона IP-адресов 192.168.100.33 – 192.168.100.46 (14 хостов).
Правило межсетевого экрана для нашего примера будет выглядеть следующим образом (правило для интерфейса локальной сети Home):
Подсеть 192.168.100.32 с сетевой маской 255.255.255.240 (/28) позволяет выделить логическую подсеть с 14 рабочими адресами (IP-адрес первого хоста — 192.168.100.33, IP-адрес последнего хоста — 192.168.100.46).
1.2. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.65 — 192.168.1.126 (62 хоста). В этом случае следует использовать сетевую маску 255.255.255.192 (/26). В правиле межсетевого экрана в качестве подсети нужно указать адрес 192.168.1.64 и маску 255.255.255.192.
1.3. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.201 — 192.168.1.206 (6 хостов). В этом случае следует использовать сетевую маску 255.255.255.248 (/29). В правиле межсетевого экрана в качестве подсети нужно указать адрес 192.168.1.200 и маску 255.255.255.248.
Примечание
Если нужно использовать более широкий диапазон IP-адресов, который не получается выделить одной маской (например, 192.168.1.33 — 192.168.1.70), можно использовать несколько правил сетевого экрана: 1-е правило IP-адрес подсети 192.168.100.32 с маской 255.255.255.224, а 2-е правило для IP-адреса подсети 192.168.100.64 с маской 255.255.255.248.
Внимание! Если в наборе правил межсетевого экрана вы одновременно используете разрешающие и запрещающие правила, в этом случае, разрешающие правила должны располагаться выше запрещающих. Сначала создавайте разрешающие правила для определенных адресов или подсетей, а затем запрещающие.
Пример 2. Использование диапазонов TCP/UDP-портов в правилах межсетевого экрана.
Предположим, нужно в домашней сети заблокировать TCP/UDP-трафик из диапазона портов 27000 - 27050 (данный трафик используется для работы клиента игровой интернет-платформы Steam).
Особенность настройки правил будет заключаться в том, что диапазон портов указать нельзя, а можно установить только условие Больше чем и Меньше чем.
В этом случае, запрет TCP-трафика на порты 27000 – 27050 осуществляется настройкой сначала разрешения обращений на порты с номером меньше 27000 (нижняя граница диапазона).
И затем блокировки трафика на порты с номером меньше 27050, то есть от верхней границы требуемого интервала.
Итоговая настройка принимает следующий вид.
Также блокировку можно выполнить другим способом, при помощи правил следующего вида:
В этом случае, запрет TCP-трафика на порты 27000 – 27050 осуществляется настройкой сначала разрешения обращений на порты с номером больше 27050 (верхняя граница диапазона) и блокировки трафика на порты с номером больше 27000, то есть от нижней границы требуемого интервала.
А в поле Номер порта источника/назначения можно установить условие Больше чем и Меньше чем.
Эти настройки помогут использовать диапазоны IP-адресов или портов при создании правил.
Пример 1. Использование диапазонов IP-адресов в правилах межсетевого экрана.
Маска подсети позволяет разделить сеть на несколько сетей меньшего размера (на подсети) с определенным количеством адресов под хосты.
Подсеть — это логическое разделение сети IP. У всех хостов одной сети или подсети одна и та же маска подсети.
Вот как выглядит таблица количества подсетей и хостов для 24-битной маски (255.255.255.0) сети класса C:
Маска 255.255.255.0 (/24) определяет всю подсеть класса C, т.е. 254 адреса, а 255.255.255.255 (/32) позволяет указать единичный узел сети.
В Интернете можно найти большое количество онлайн сетевых IP-калькуляторов, которые позволят быстро рассчитать IP-адреса и маски подсетей.
Приведем конкретный пример.
1.1. Допустим, нужно запретить доступ по протоколу TCP хостам локальной сети из диапазона IP-адресов 192.168.100.33 – 192.168.100.46 (14 хостов).
Правило межсетевого экрана для нашего примера будет выглядеть следующим образом (правило для интерфейса локальной сети Home):
Подсеть 192.168.100.32 с сетевой маской 255.255.255.240 (/28) позволяет выделить логическую подсеть с 14 рабочими адресами (IP-адрес первого хоста — 192.168.100.33, IP-адрес последнего хоста — 192.168.100.46).
1.2. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.65 — 192.168.1.126 (62 хоста). В этом случае следует использовать сетевую маску 255.255.255.192 (/26). В правиле межсетевого экрана в качестве подсети нужно указать адрес 192.168.1.64 и маску 255.255.255.192.
1.3. Предположим, в правилах нужно использовать диапазон IP-адресов 192.168.1.201 — 192.168.1.206 (6 хостов). В этом случае следует использовать сетевую маску 255.255.255.248 (/29). В правиле межсетевого экрана в качестве подсети нужно указать адрес 192.168.1.200 и маску 255.255.255.248.
Примечание
Если нужно использовать более широкий диапазон IP-адресов, который не получается выделить одной маской (например, 192.168.1.33 — 192.168.1.70), можно использовать несколько правил сетевого экрана: 1-е правило IP-адрес подсети 192.168.100.32 с маской 255.255.255.224, а 2-е правило для IP-адреса подсети 192.168.100.64 с маской 255.255.255.248.
Внимание! Если в наборе правил межсетевого экрана вы одновременно используете разрешающие и запрещающие правила, в этом случае, разрешающие правила должны располагаться выше запрещающих. Сначала создавайте разрешающие правила для определенных адресов или подсетей, а затем запрещающие.
Пример 2. Использование диапазонов TCP/UDP-портов в правилах межсетевого экрана.
Предположим, нужно в домашней сети заблокировать TCP/UDP-трафик из диапазона портов 27000 - 27050 (данный трафик используется для работы клиента игровой интернет-платформы Steam).
Особенность настройки правил будет заключаться в том, что диапазон портов указать нельзя, а можно установить только условие Больше чем и Меньше чем.
В этом случае, запрет TCP-трафика на порты 27000 – 27050 осуществляется настройкой сначала разрешения обращений на порты с номером меньше 27000 (нижняя граница диапазона).
И затем блокировки трафика на порты с номером меньше 27050, то есть от верхней границы требуемого интервала.
Итоговая настройка принимает следующий вид.
Также блокировку можно выполнить другим способом, при помощи правил следующего вида:
В этом случае, запрет TCP-трафика на порты 27000 – 27050 осуществляется настройкой сначала разрешения обращений на порты с номером больше 27050 (верхняя граница диапазона) и блокировки трафика на порты с номером больше 27000, то есть от нижней границы требуемого интервала.
