|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Router - [решено] Ограничить доступ с внешних IP при помощи роутера |
|
|
Router - [решено] Ограничить доступ с внешних IP при помощи роутера
|
Старожил Сообщения: 201 |
Есть ПК типа "сервер", на который необходимо постоянно удалённо заходить. Чтобы отсеять лишних нежелательных пользователей типа хакеров на роутере DIR-615 было прописано правило: разрешать удалённое подключение через порт только с определённых IP. В итоге получалось, что на сервере есть интернет, никаких ограничений по работе с внешней сети, но только ограниченный список IP может стучаться на удалённое подключения RDP. Посоветуйте роутер, на котором всё это можно организовать. Сейчас это всё работает через DIR-615, но из-за расширения канала до 1ГБит нужен роутер с гигабитным портом WAN.
Ниже описание ситуации с заменой роутера на TP-Link Archer C20i, но с его настройками оказалось всё как-то плачевно. Может кто подскажет как правильно ЕГО настроить? Скрытый текст
Ситуация сменилась, когда потребовался более ёмкий канал (свыше 100Мбит). Пришлось менять роутер. Был куплен TP-Link Archer C20i. В нём есть функция контроля доступа, но работает она как-то непонятно. После её активации (access control называется она) по умолчанию она либо блокирует всем ПК доступ во внешнюю сеть, либо его разрешает (так же и в обратную сторону, т.е. если заблокирован доступ к внешней сети, то и из внешней сети к ПК не достучаться). При это можно создавать правила для этого access control. В первом случае, если всем ПК из LAN разрешить доступ к внешней сети, то созданные правила не работают (т.е. создаю правило, что конкретный IP не может постучаться через роутер к внутренней машине, а постучаться всё равно можно). Во втором случае, если запретить всем ПК доступ во внешнюю сеть, то правила работают. Можно указать конкретный IP с которым ПК может общаться в интернете. В итоге получается, что можно прописать 2-3 IP внешних и люди могут удалённо работать с сервером, НО(!) больше на сервере никакой работы с внешними адресами быть не может, т.е. и интернета нет по сути. Либо прописывай нужные IP-адреса сайтов.
Короче, подскажите можно ли что-то сотворить с правилами TP-Link, чтобы решить поставленную задачу? Писал в саппорт ТП-Линка, но данный роутер оказался ещё "не российским" и отправили меня в международный саппорт писать запрос на английском. |
|
|
Отправлено: 21:32, 04-06-2015 |
Ветеран Сообщения: 700
|
Профиль | Отправить PM | Цитировать Intergo, я думаю что можно все настроить через правила доступа, просто нужно внимательно с ними разобраться. Как я вижу из руководства и эмулятора, ключевое поле в настройках правил доступа - Direction.
Если вы хотите чтобы к серверу было ограничение доступа извне, нужно использовать правило с IN Direction. Для того чтобы у сервера не было проблем с доступом в Интернет, нужно другое правило для него, только с OUT Direction и в качестве Target использовать Any Host. Вообще сделайте так: Одно правило: разрешить всем ПК доступ из LAN в Интернет Второе правило: ограничить доступ к серверу определенным IP-адресам Пробуйте  |
|
------- Отправлено: 11:31, 05-06-2015 | #2 |
|
Старожил Сообщения: 201
|
Профиль | Отправить PM | Цитировать Дело в том, что для любого правила надо прописывать как IN Direction, так и OUT Direction. Если создать для внутреннего хоста хоть одно правило с пометкой Any Host, то другие правила, которые запрещают что либо уже не действуют, т.е. нет даже никакой приоритетности правил. Другими словами, если для сервера будет правило OUT Direction с пометкой Any Host, то интернета всё равно не будет. Нужно создавать ещё одно такое же правило IN Direction. После этого уже ничего не запретить.
Цитата IT Shepherd:
|
|
|
Отправлено: 11:42, 05-06-2015 | #3 |
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать MikroTik RB951G-2HnD
|
|
Отправлено: 11:53, 05-06-2015 | #4 |
|
Старожил Сообщения: 201
|
Профиль | Отправить PM | Цитировать Цитата freese:
|
||
|
Отправлено: 15:26, 05-06-2015 | #5 |
|
Старожил Сообщения: 201
|
Профиль | Отправить PM | Цитировать Цитата IT Shepherd:
Изначально я не придал значения, что можно указывать не конкретные IP, а диапазоны адресов. Для всех внутренних хостов DHCP сделано правило на OUT к Any Host. Такое же правило создано отдельно для сервера и IP у него статический. При этом интернет на сервере есть, но удалённое подключение невозможно. Для разрешения удалённого подключения уже создал правило на IN для каждого нужного IP. Но всё равно как-то оно всё странно работает на данной модели. Где-то пришлось принудительно ещё и весь диапазон портов для внутренних и внешних хостов в правилах прописывать, иначе корректно не работало. Но самое главное, что по умолчанию доступ всем хостам внутренней сети по умолчанию закрыт. В других вариантах ничего не получалось. |
|
|
Отправлено: 22:55, 16-06-2015 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Router - Подключение Wi Fi роутера через ADSL, доступ к компьютеру сети возможен только по IP | Призрак | Сетевое оборудование | 2 | 28-01-2014 09:43 | |
| 2008 R2 - как ограничить доступ к удаленному рабочему столу по IP? | knitek | Windows Server 2008/2008 R2 | 4 | 08-12-2011 14:26 | |
| Интернет - Можно ли ограничить доступ в Сеть при модемном соединении? | ~SloNicK~ | Сетевые технологии | 2 | 10-01-2010 12:27 | |
| Ограничить доступ к файловой шаре по IP или Computer Account | Nerian | Microsoft Windows NT/2000/2003 | 3 | 19-06-2008 11:02 | |
| Возможно ли ограничить доступ к сетевым общим папкам по паролю, IP и их видимость? | Guest | Microsoft Windows NT/2000/2003 | 22 | 25-09-2006 17:40 | |
|
|
Время: 02:19. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
