Keenetic Omni II: Ограничение проброса портов по ip-адресу источника.

Самый простой и действенный способ защитить проброшенные порты -- это ограничение по ip-адресу источника. Допустим, у нас есть главный офис с адресом 1.1.1.1 и удаленный филиал с адресом 2.2.2.2. Оба адреса -- статические. В офисе есть ресурсы, доступ к которым позарез нужен пользователям филиала. Правильным подходом, конечно, будет настройка VPN-туннеля между маршрутизаторами, но если нет такой возможности, вариантом не сильно правильным но рабочим будет проброс нужных портов только для адреса 2.2.2.2. На железках Mikrotik или Fortinet такое ограничение реализовано дополнительным полем "Src. Address" в правиле перенаправления портов... а вот на SOHO девайсах типа Keenetic Omni II такого поля нет. Но настроить ограничение по IP-адресу на такого рода девайсах таки возможно, просто нужно создать три правила вместо одного.

Далее приведу пример настройки машрутизатора Keenetic

Допустим, что у нас есть Keenetic со статическим адресом 1.1.1.1 на интерфейсе ISP. В локальной сети есть rdp-сервер c ip-адресом 192.168.1.150, использующий для подключений стандартный порт 3389. Также есть удаленный клиент, который должен подключаться ТОЛЬКО с ip-адреса 2.2.2.2 на 1.1.1.1:12345 и попадать на наш сервер.

1. Делаем правило, запрещающее трафик для всех IP-адресов на локальный порт и локальный адрес.

Кнопка безопасность -> Вкладка "Межсетевой экран" -> Кнопка "Добавить правило"

Действие: Отбрасывать.

 
 

2. Делаем правило разрешающее трафик для нужного IP-адреса источника на локальный порт и локальный адрес.

Кнопка безопасность -> Вкладка "Межсетевой экран" -> Кнопка "Добавить правило"

 
 
 
 

3. Делаем проброс порта из внешней сети в локалку.

Кнопка безопасность -> Вкладка "Трансляция сетевых адресов (NAT)" -> Кнопка "Добавить правило"

Интерфейс: ISP (интерфейс взят в качестве примера, может отличаться)

Протокол: TCP

Открыть: один порт: 12345 (порт для внешнего подключения)

Перенаправить на адрес: 192.168.1.150 (локальный ip)

Новый номер порта назначения: 3389 (локальный порт)

Поместить в: Начало

 
1 1 1 1 1 1 1 1 1 1 Рейтинг 1.82 [103 Голоса (ов)]

Добавить комментарий