Нажмите "Enter", чтобы перейти к содержанию

Router tűzfal konfiguráció

A DMZ engedélyezése a Zyxel Keenetic routeren

Az összes port továbbítása a fogadó fogadóhoz (DMZ fogadó szervezet) — Kenetic

Néha a Keenetic Internetközpont helyi hálózatában van egy feladat a DMZ gazdagép megszervezéséhez (lehet egy webszerver, a hálózati videofelvevő, az IP-kamera vagy más eszköz), amely minden port rendelkezik, és így teljes Távoli hozzáférés az internetről. A DMZ Host nem DMZ szegmens, t.Nak nek. A nyitott portokkal rendelkező fogadó nem elkülönítve van a belső hálózaton, és nem védett beágyazott biztonsági eszközök (tűzfal és NAT címátviteli mechanizmus).

Jegyzet: Fontos!

1. A port továbbítása csak akkor működik, ha az internetes központ fehér (nyilvános) IP-címet használ az internet-hozzáféréshez. További információk találhatók a cikkben "Mi a különbség "fehér" és "szürke" IP-címek?"

2. Az ebben a cikkben figyelembe vett példa egy különleges eset, és nem a legjobb megoldás a kapcsolat szempontjából. Ezt az opciót csak akkor használja, ha nem tudja, hogy mely portok és protokollok használják a kiszolgálón vagy a hálózati eszközön. Ebben az esetben a biztonságot közvetlenül végre kell hajtani

Zyxel »Routeworld. . .

. . Kenetikus AZ ÉN.Kenetikus.Háló ,,. , IP-. , ARP -A .

192.168.1.1 ,. , Mac-, Wan-,,.
, G. .
, G. adminisztrátor , -. , (- IP-).
. ,, -. .

,.
. (NAT) .

,,:

, 192.168.88.1 !
, Szélessávú (ISP) , TCP / 80 « Ip, 192.168.88.1 -. 80 .
:
, Wan- IP-. ,, Admin / admin. .
Nat , Tűzfal => .

Isp ().
, IP- , IP-.IP-. TCP / 80 ,. 80 .
Telnet . :

, 80, 23 .
, (, -) 80-,:

:
« ` Tűzfal . => .

IP-. ,,. DLE 12.0 .

Példák a tűzfal szabályaira — Keenetetikus

Ahhoz, hogy megvédje a helyi hálózatokat az interneten lévő támadásoktól és támadóktól a Keenetetikus routerekben, akkor a tűzfal alapértelmezés szerint telepítve van. A legtöbb esetben az alapértelmezett beállítások elegendőek a biztonság biztosításához, és nincs szükség a tűzfal beállítására. De ha bizonyos problémákat megoldani kell, a Keenetic Internetközpont rugalmas lehetőségeket kínál a tűzfal szabályainak beállításához.

Ebben a cikkben gyakorlati példákat adunk a tűzfal szabályainak használatára az internetes központban.
A tűzfal elmélete és részletes leírása az internetközpontban megtalálható a cikkben, hogy a tűzfal működik ?.

JEGYZET: Fontos! A tűzfal nem fogja szabályozni ezt a meglévő munkamenetet, ha már telepítve van, akkor a tűzfalszabály létrejön a forgalom tekintetében ebben a munkamenetben. A szabály hatályba lép, miután az aktuális munkamenet megszakad — erőteljesen vagy a létezésének után.
A helyes működését az újonnan létrehozott szabályt (alaphelyzetbe áram / aktív kapcsolatok), a megfelelő felület az internet központban ki kell kapcsolni, majd újra.

Nézzük meg a következő példákat:

1. Hagyja hozzáférést az internethez csak egy számítógéphez a helyi hálózaton, és blokkolja a hozzáférést minden máshoz.

2. Blokkolja az internet-hozzáférést csak egy számítógépen a helyi hálózaton.

3. Blokkolja a hozzáférést egy adott weboldalhoz a LAN-tól.

4. Engedélyezze a helyi hálózati hozzáférést csak egy meghatározott webhelyre.

5. Engedélyezze az internethez való hozzáférést a helyi hálózatból csak meghatározott protokollok (szolgáltatások).

6. A távoli internetes központ menedzsment engedélyezése.

7. Blokkolja az internetes központhoz való hozzáférést egy adott internetes alhálózat vagy külső hálózat IP-címeiről.

Állítsa be a tűzfal szabályait a kenetikus webes felületen keresztül. Meg tudod csinálni a tűzfal oldalán.

Tipp: Jegyzet: Az internet-hozzáférés blokkolásához meghatározzuk a TCP protokollt a tűzfalszabályokban, mivel az internet a TCP / IP hálózati adatátviteli protokollokon alapul.

1. példa.Hagyja hozzáférést az internethez csak egy számítógéphez a helyi hálózaton, és blokkolja a hozzáférést minden máshoz.

Ebben a példában két szabályt kell létrehoznia az «otthoni szegmens» számára.
Először is létrehozunk egy engedélyezési szabályt, amelyben meghatározza az eredeti IP-címet (a számítógép IP-címe megengedett), és a TCP protokoll típusát.

Ezután létrehozunk egy tiltó szabályt, amelyben meghatározzuk az eredeti IP-címet alhálózatként (192.168.1.0 a 255 maszkkal.255.255.0).255.0) és TCP protokoll típus.

JEGYZET: Fontos! Ezt a szabályt olyan számítógépről kell konfigurálni, amely hozzáférést biztosít az internethez. Ellenkező esetben a fent említett szabályok megteremtése után elveszíti a Keenetikus webes felülethez való hozzáférést. Ebben az esetben manuálisan adjon meg engedélyezett IP-címet a hálózati adapter beállításaiban, majd csatlakoztassa a webes felülethez.

2. példa. Blokkolja az internet-hozzáférést csak egy számítógépen a helyi hálózaton.

Ebben a példában meg kell teremteni egy szabályt az «otthoni szegmens». Hozzon létre egy tiltó szabályt, amelyben létrehozza a forrás IP-címét (a számítógép IP-címe, amely tilos, amely tilos lesz) és a TCP protokoll típusát.

3. példa. Blokkolja a hozzáférést egy adott webhelyhez a LAN-tól.

Ebben a példában blokkoljuk az összes számítógépet a helyi hálózati hozzáféréshez a Wikipedia Wikipedia webhelyhez.Org.

JEGYZET: Fontos! A tartománynevek nem használhatók a Keenetic Routers tűzfal beállításaiban, csak IP-címeket állíthatnak be.

Tehát a szabályok beállítása előtt meg kell találnia a használni kívánt weboldal IP-címét. Az egyik helynek több különböző IP-címe lehet (általában a nagy erőforrásokra vonatkozik, mint például az Amazon.Com, Google.Com, facebook.Com és t. D.).

A weboldal IP-címének elsődleges módja a speciális NSLookup parancs használata .
Például az operációs rendszer parancssorában elindítjuk a parancsot:

Nslookup wikipedia.Org

A fenti parancs végrehajtásának eredménye lehetővé teszi, hogy megtekinthesse azt az IP-címeket, amelyeken a webhely található (például Wikipedia példáján.Az org csak egy IP-címet használ 91.198.174.192).

A webhely IP-címének megismerése második módja az, hogy az egyik speciális online szolgáltatásokat (például 2-t.IO). Egy speciális mezőben meg kell adnia a webhely nevét, és kattintson a «Check» gombra. Ezután látni fogja az összes IP-címet, amelyen az oldal működik.

Most, hogy megvan a weboldal IP-címe, elkezdheti a tűzfalszabályok létrehozását.

JEGYZET: Fontos! A weboldalak nem csak a http, hanem a https által is működhetnek.

Mivel ebben a példában a weboldalon használt egy IP-címet, hozzunk létre két szabályt a „hazai szegmens” forgalom blokkolására keresztül protokollok: HTTP és egyet https. Hozzon létre olyan tiltó szabályokat, amelyekben megadjuk a rendeltetési IP-címét (a webhely IP-címe, amelyre a hozzáférés megtagadni fogják) és a protokoll típusát (http és https).

.

Mi a teendő, ha a kikötői továbbítás nem működik — könnyebb

JEGYZET: Fontos!

1. A kikötői továbbítás beállításakor nyilvános IP-címmel kell rendelkeznie a router WAN interfészen, amelyen keresztül az internet gyakorol. Ha a router WAN interfésze egy magán alhálózat IP-címét használja, a kikötői továbbítás nem működik.

2. Annak ellenőrzésére, hogy a kikötői továbbító munkák, meg kell-e elérni az útválasztó WAN interfészt az internetről.A kikötői továbbítás nem működik a helyi hálózathoz való hozzáféréskor.

3. Szolgáltatás vagy alkalmazás, amelyben a port továbbítás végrehajtásra kerül, akkor meg kell futnia, hogy a kikötő az ellenőrzés során «nyitva» látható legyen. Például, ha az FTP szerver nem fut, és van egy NAT szabály átirányítás kikötők, az állapota a port lesz „zárt” az ellenőrzés során.

TANÁCS: Tanács: A kikötők nyitottságának tesztelésére tervezett speciális internetes szolgáltatásokat használhatja. Például: https: // Hidemyna.ME / EN / PORTS /, HTTPS: // www.Whatsmyip.Org / Port-Scanner / és T. D.

Az alábbiakban jellemző okok, amelyek a kikötői továbbítás nem működhetnek, a helyes beállítás ellenére.

1. A hibás felület helytelenül kiválasztott port átirányítási szabály. A „Belépés” mezőben válasszon egy felületet, amelyen keresztül Keenetic bemegy az interneten, és amelyen keresztül azt tervezi, hogy a távoli hozzáférést az otthoni hálózati eszköz.
A legtöbb esetben, akkor válassza ki a „Szolgáltató” interfész.Ha van internetkapcsolata PPPoE, PPTP vagy L2TP, ki kell választania a megfelelő kapcsolat. Ha az internethez egy 3G / 4G USB modemen keresztül csatlakozik, meg kell adnia ezt a kapcsolatot, és csatlakozik a WISP-en keresztül, válassza ki a kapcsolatot a hálózat nevével, amelyhez a Keenetic Internetközpont csatlakozik.

2. A számítógép tűzfalat vagy speciális internetes védelmi szoftvert használ. Ideiglenesen húzza ki ezt az alkalmazást, és győződjön meg róla, hogy a port továbbítása helyesen működik.

3.Néhány internetes szolgáltató a hálózatukban «rejtett NAT» -t használ. Meg kell győződnie arról, hogy online menjen az olyan IP-címtől, amelyet megadtál a szolgáltatót, és amelyet a Keenetetikus WAN interfészen használnak. Néha vannak olyan helyzetek, ahol a szolgáltató nyilvános IP-címet ad az ügyfélnek, de valójában egy másik IP-címmel online megy. Lépjen kapcsolatba a myip.Háló. Ha az IP-címe eltér a Keenetikus WAN interfészen használt, a kikötői továbbítás nem működik.

4. Néhány internetes szolgáltató szűri a bejövő felhasználói forgalmat a szabványos protokollok és kikötők szerint.Például 21 / ftp, 80 / http, 25 / pop3, 1723 / pptp és más portok szűrhetnek). E tekintetben pontosan meg kell tudni, hogy a forgalmi szolgáltató blokkolja-e néhány kikötőt.
Ha van ilyen lehetőség, meg kell változtatnia a portszámot, és manuálisan be kell állítania egy másik számot, amelyet a Szolgáltató nem blokkolja (például, ha a 21 portot az FTP-kiszolgálón rögzíti, használhatja a 2121-es portot).
Ha nincs lehetőség a szervizportszám megváltoztatására, akkor a kikötői leképezést a Keenetikus Internetközpontban lévő kikötői átirányítás szabályaiban használhatja.További információt talál a «Port átirányítás» cikkben.

5. A fogadó hálózati beállításokat mely kikötők irányítva, az szükséges, hogy az IP-címét, az alapértelmezett átjáró egyenlő a helyi IP-címét a Keenetic Internet központ (alapértelmezett 192.168.1.1). Ez a helyzet, ha manuálisan megadja a hálózati kapcsolat beállításait a gazdagépen. Ha a gazdagép egy kliens DHCP, T.E. Automatikusan megkapja az IP-címet, az alhálózati maszkot, az alapértelmezett átjárót és a DNS-címeket, az alapértelmezett átjáró megegyezik a Keenetic router helyi IP-címével.

6. Az Xbox és a PS4 játékkonzolok portirányításának egyes jellemzői a «Xbox és a PS4 használatával történő összekötés során» című cikkben kerülnek bemutatásra.

7. A KeeneticOS operációs rendszer, a NAT logika szerint megvalósított RFC 4787 „Követelmények viselkedését, amikor műsorszóró hálózati címek (NAT) unicast UDP”. Különösen az alapértelmezés szerint a kezdeti UDP port bármely más portra változik, kivéve a kezdetet, amikor átadja a NAT-t. Ez problémákat okozhat az UDP forgalom áthaladásával a NAT-n keresztül egyes internetes szolgáltatók számára, akik nem tudnak róla rfc.Ebben az esetben próbálja meg a parancsok futtatását a parancssori interfész (CLI) routerben:

IP NAT UDP-port-tartomány
Rendszerkonfiguráció Mentés

nyolc. Ha a fenti javaslatok nem segítettek, és valamilyen oknál fogva, port forwarding még mindig nem működik, akkor lépjen kapcsolatba a technikai támogató csoport, és csatolja egy önellenőrzés fájlt. Tájékoztatás arról, hogyan kell ezt csinálni megtalálható a cikk „mentése önellenőrzés file”.

TANÁCS: Tanács. Útválasztók A kenetikus képes hozzáférést szervezni az útválasztóhoz, még egy privát IP-címmel is a külső router WAN interfészen.Keendns — Hasznos domainnevek a távoli hozzáféréshez. Ezzel a szolgáltatással megoldhatja a 2 feladatot:

— Távoli hozzáférés az internetes központ webes felületéhez. Információkat találhat a «Keendns Service» cikkben;

— Távoli hozzáférés az otthoni hálózat vagy a Keenetic Internet Center erőforrásaihoz (szolgáltatások). Például hozzáférést biztosít a készülék egy webes felületen — egy hálózati lemez, webkamera, szerver vagy torrent kliens Download Station fut a router. Ezt az opciót a cikk írja le «

.

Home hálózati eszközök csatlakoztatása — Kenetic

Ethernet hálózati adapterekkel (számítógép, Smart TV, IPTV előtag, hálózati médialejátszó vagy tárolás) és Wi-Fi IEEE 802 vezeték nélküli adapterek.11 (okostelefon, tabletta, laptop és más modulok) csatlakoztathatók a kenetikushoz.

JEGYZET: Fontos! Ez a cikk az első kapcsolatot írja le az útválasztónak a gyári alapbeállításaival, valamint a csatlakoztatott eszközökkel, amelyekhez az IP-cím automatikus átvétele konfigurálva van.Ha nem biztos benne, hogy a Keenetic Router rendelkezik az alapértelmezett gyári beállításokkal, akkor az utasítások szerint visszaállíthatja őket «Rendszerbeállítások és visszaállítás adminisztrátori jelszó».

Csatlakoztassa az útválasztót a tápegységhez a mellékelt hálózati adapteren keresztül. Amikor az útválasztó betöltődik, az állapotjelző (szélsőséges balra), amely az eszköz állapotát mutatja, folyamatosan meg kell ragyognia (ez azt jelenti, hogy az útválasztó be van kapcsolva és készen áll a használatra).

1. Csatlakozás Ethernet kábellel

Csatlakozás a hálózati portokhoz 1… 4. (a portok számát a modelltől függ), használhatja az Ethernet-kábel (patch kábel), és csatlakoztassa a portot rendeli az átjátszó és a hálózati adapter a csatlakoztatott eszközön.

JEGYZET: Fontos! Javasoljuk, hogy létrehozzon egy hálózati adaptert, hogy automatikusan megkapja az IP-címet.

Győződjön meg róla, hogy a csatlakoztatott számítógép IP-címe van az alhálózatról 192.168.1.X (Ez az alhálózat előre telepítve van alapértelmezés szerint a keenetikus routereknél). A megteendő információkért lásd:. «A hálózati adapter beállításainak megtekintése a Windows rendszerben (IP-cím, MAC-cím és alapértelmezett átjáró)»

2.Wi-Fi kapcsolat

A Keenetic Wi-Fi hálózathoz való csatlakozáshoz kapcsolja be a Wi-Fi adapter (modul) a mobileszközön.

A Wi-Fi hálózat neve és jelszava az útválasztó hátsó címkéjén van nyomtatva. Például:

Keresse meg az útválasztó Wi-Fi hálózatának nevét a rendelkezésre álló hálózatok listájában, és csatlakozzon hozzá. Megtalálhat egy példát a «Windows 10 a routier csatlakoztatása» cikkben.

A WPS-t támogató eszközökhöz kapcsolódnak a Wi-Fi-tól, például a Windows Laptopoktól vagy az Android mobileszközöktől, akkor az automatikus konfigurációt és az operációs rendszer meghívásával nyomja meg a megfelelő gombot a Keenetetikus gomb megnyomásával.

3. A legtöbb esetben a fent leírt műveletek elegendőek ahhoz, hogy eszközöket csatlakozzanak az internetes központba. Most, attól függően, hogy milyen típusú internet-kapcsolat, akkor csatlakoztassa az ISP-kábelt a hálózati port 0 vagy támogatott a 3G / 4G USB modem USB port a router (ha csatlakozik az internetre mobilszolgáltató).

Néha szükséges lehet a Keenetic Internet Center konfigurálása. Ez a Keenetic Internet Center webkonfigurátorán keresztül történhet. Tudjon meg többet arról, hogyan csatlakozhat egy webkonfigurátorhoz, lásd. A «Web Configurator» cikkben.

A webkonfigurátorhoz való csatlakozás után konfigurálja a megfelelő internetkapcsolatot az internetszolgáltató beállításainak megfelelően.

Honlapunkon vannak olyan utasítások, amelyek segítenek a különböző típusú kapcsolatok beállításához. Az «Internet» szakaszban szerepelnek.

Diagnosztika A számítógép csatlakoztatása egy routerhez

A. Ha Ethernet kábellel csatlakozik az útválasztóhoz, győződjön meg róla, hogy a kábel biztonságosan csatlakozik a számítógép és a router hálózati adapter portjához.Ha egy eszköz csatlakozik az útválasztóhoz, az útválasztó portjelzője az adatátvitel során világít és villog.
Ezután az operációs rendszer számítógépén nyissa meg a parancssori parancsot, és csatlakoztassa az útválasztó helyi IP-címét (alapértelmezés szerint 192.168.1.1).

Ping 192.168.1.1

Ha üzenetet kaptál az összes 4 csomag elvesztéséről, csatlakoztatva a számítógépet az útválasztóhoz. Ebben az esetben ellenőrizze a hálózati beállításokat (különösen a TCP / IPv4 internetes protokoll).Javasoljuk az IP-cím automatikus átvételét.
Ha beállít egy kézzel a számítógépet, győződjön meg arról, hogy az IP-beállításokat a számítógépen találkozik a beállításokat az otthoni hálózathoz, és hogy az IP-címét a számítógép nem folytat egy másik készülék a hálózaton. A számítógép IP beállításainak ellenőrzéséhez futtassa a parancsot a Windows parancssorból:

Ipconfig / minden

Győződjön meg róla, hogy IP-címet kapott az alhálózatról 192.168.1.X (ez az alhálózat IP-címe, amely alapértelmezés szerint telepítve van a Keenetic Internetközpontban) és IP-cím 192.168.1.Az 1. ábra alapértelmezett és DNS szerver átjáró.

Ha egy másik alhálózat IP-címeit látja, ez azt jelenti, hogy a gyári alapbeállítások jelenleg nincsenek telepítve az útválasztón. A gyári alapbeállítások visszaállításához lásd: «Rendszerbeállítások és jelszó-visszaállítási adminisztrátor».

B. Ha Wi-Fi segítségével csatlakozik az útválasztóhoz, győződjön meg róla, hogy az adapter (modul) Wi-Fi be van kapcsolva a laptopon vagy a mobileszközön, és hogy az internetes központ Wi-Fi hálózata megjelenik a rendelkezésre álló vezeték nélküli hálózatok listáján . Hálózat.Ha nem látja a Wi-Fi kenetikus hálózatot a mobileszközön, győződjön meg róla, hogy a kenetikus Wi-Fi jelzőfény világít. A Wi-Fi LED be van kapcsolva, amikor a Wi-Fi hálózat be van kapcsolva, gyakran villog, ha az adatokat a vezeték nélküli hálózaton keresztül továbbítják, és nem világít, ha a Wi-Fi hálózat le van tiltva. Ha a Wi-Fi jelzőfény nem világít, akkor véletlenül letilthatja a Wi-Fi hálózatot a gomb segítségével. Nyomja meg és tartsa lenyomva a Wi-Fi gombot a routeren több mint három másodpercen belül, hogy bekapcsolja.
Ha Wi-Fi hálózatot lát, de nem tud csatlakozni, akkor manuálisan lépett be a hálózati jelszót, és hiba történt.Újra csatlakozzon és alaposan adja meg a hálózati jelszót. Használhatja a WPS automatikus kapcsolat funkcióját is.

Ha nem tud csatlakozni a vezeték nélküli hálózathoz, frissítse a vezeték nélküli adapter illesztőprogramokat az adapter vagy a számítógép gyártó weboldalán (laptop). Ha mobileszközöket használ, állítsa be az operációs rendszerfrissítéseket és a gyártó szoftvert.

JEGYZET: Fontos! Információ a számítógép vagy mobil eszköz működési rendszerével kapcsolatban. A referencia rendszerben, dokumentációban vagy az operációs rendszer webhelyfejlesztő támogatása.

.

Комментарии закрыты, но обратные ссылки и pingbacks ещё работают.