Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   [решено] Ограничить доступ с внешних IP при помощи роутера (http://forum.oszone.net/showthread.php?t=300758)

Intergo 04-06-2015 21:32 2515063
Ограничить доступ с внешних IP при помощи роутера
 
Есть ПК типа "сервер", на который необходимо постоянно удалённо заходить. Чтобы отсеять лишних нежелательных пользователей типа хакеров на роутере DIR-615 было прописано правило: разрешать удалённое подключение через порт только с определённых IP. В итоге получалось, что на сервере есть интернет, никаких ограничений по работе с внешней сети, но только ограниченный список IP может стучаться на удалённое подключения RDP. Посоветуйте роутер, на котором всё это можно организовать. Сейчас это всё работает через DIR-615, но из-за расширения канала до 1ГБит нужен роутер с гигабитным портом WAN.

Ниже описание ситуации с заменой роутера на TP-Link Archer C20i, но с его настройками оказалось всё как-то плачевно. Может кто подскажет как правильно ЕГО настроить?
Скрытый текст
Ситуация сменилась, когда потребовался более ёмкий канал (свыше 100Мбит). Пришлось менять роутер. Был куплен TP-Link Archer C20i. В нём есть функция контроля доступа, но работает она как-то непонятно. После её активации (access control называется она) по умолчанию она либо блокирует всем ПК доступ во внешнюю сеть, либо его разрешает (так же и в обратную сторону, т.е. если заблокирован доступ к внешней сети, то и из внешней сети к ПК не достучаться). При это можно создавать правила для этого access control. В первом случае, если всем ПК из LAN разрешить доступ к внешней сети, то созданные правила не работают (т.е. создаю правило, что конкретный IP не может постучаться через роутер к внутренней машине, а постучаться всё равно можно). Во втором случае, если запретить всем ПК доступ во внешнюю сеть, то правила работают. Можно указать конкретный IP с которым ПК может общаться в интернете. В итоге получается, что можно прописать 2-3 IP внешних и люди могут удалённо работать с сервером, НО(!) больше на сервере никакой работы с внешними адресами быть не может, т.е. и интернета нет по сути. Либо прописывай нужные IP-адреса сайтов.
Короче, подскажите можно ли что-то сотворить с правилами TP-Link, чтобы решить поставленную задачу? Писал в саппорт ТП-Линка, но данный роутер оказался ещё "не российским" и отправили меня в международный саппорт писать запрос на английском.

IT Shepherd 05-06-2015 11:31 2515199
Intergo, я думаю что можно все настроить через правила доступа, просто нужно внимательно с ними разобраться. Как я вижу из руководства и эмулятора, ключевое поле в настройках правил доступа - Direction.

Если вы хотите чтобы к серверу было ограничение доступа извне, нужно использовать правило с IN Direction. Для того чтобы у сервера не было проблем с доступом в Интернет, нужно другое правило для него, только с OUT Direction и в качестве Target использовать Any Host.

Вообще сделайте так:
Одно правило: разрешить всем ПК доступ из LAN в Интернет
Второе правило: ограничить доступ к серверу определенным IP-адресам

Пробуйте :)

Intergo 05-06-2015 11:42 2515208
Дело в том, что для любого правила надо прописывать как IN Direction, так и OUT Direction. Если создать для внутреннего хоста хоть одно правило с пометкой Any Host, то другие правила, которые запрещают что либо уже не действуют, т.е. нет даже никакой приоритетности правил. Другими словами, если для сервера будет правило OUT Direction с пометкой Any Host, то интернета всё равно не будет. Нужно создавать ещё одно такое же правило IN Direction. После этого уже ничего не запретить.

Цитата:
Цитата IT Shepherd
Второе правило: ограничить доступ к серверу определенным IP-адресам »
Вот именно так сделать на роутере не получается, именно на ТП-Линке. Поэтому может кто и посоветует на каком гигабитном роутере это можно сделать корректно.

freese 05-06-2015 11:53 2515218
MikroTik RB951G-2HnD

Intergo 05-06-2015 15:26 2515281
Цитата:
Цитата freese
MikroTik RB951G-2HnD »
Как вариант, но как на нём настроить всё это дело не знаю, а под рукой такого нет, чтобы попробовать.

Intergo 16-06-2015 22:55 2519298
Цитата:
Цитата IT Shepherd
Intergo, я думаю что можно все настроить через правила доступа, просто нужно внимательно с ними разобраться. Как я вижу из руководства и эмулятора, ключевое поле в настройках правил доступа - Direction.
Если вы хотите чтобы к серверу было ограничение доступа извне, нужно использовать правило с IN Direction. Для того чтобы у сервера не было проблем с доступом в Интернет, нужно другое правило для него, только с OUT Direction и в качестве Target использовать Any Host.
Вообще сделайте так:
Одно правило: разрешить всем ПК доступ из LAN в Интернет
Второе правило: ограничить доступ к серверу определенным IP-адресам
Пробуйте »
Сделал что-то похожее, а именно.
Изначально я не придал значения, что можно указывать не конкретные IP, а диапазоны адресов. Для всех внутренних хостов DHCP сделано правило на OUT к Any Host. Такое же правило создано отдельно для сервера и IP у него статический. При этом интернет на сервере есть, но удалённое подключение невозможно. Для разрешения удалённого подключения уже создал правило на IN для каждого нужного IP.
Но всё равно как-то оно всё странно работает на данной модели. Где-то пришлось принудительно ещё и весь диапазон портов для внутренних и внешних хостов в правилах прописывать, иначе корректно не работало.
Но самое главное, что по умолчанию доступ всем хостам внутренней сети по умолчанию закрыт. В других вариантах ничего не получалось.


Время: 09:36.

Время: 09:36.
© OSzone.net 2001-