Цитата Tamplier_52:
|
прочитал то нужно настроить веб сервер в панеле роутера и запретить вход в нее таким образом. »
|
По всей видимости, Вы не совсем правильно поняли то, что прочитали. Или прочитали что-то не то...
Запрещается не просто сам по себе доступ по внешнему IP адресу маршрутизатора, а доступ к нему по WAN-интерфейсу. Который и так изначально запрещен по умолчанию на всех известных мне моделях.
Конечно, можно еще дополнительно закрыть доступ по IP, Безопасность это как минимум не снизит, а теоретически может даже и повысить, в случае наличия каких-то там неизвестных дыр. Но это не кажется мне особо необходимым шагом. Тем более, что надо блокировать только некоторые виды пакетов. А именно, пакеты адресованные непосредственно самому устройству (т.е. те, для которых не существует правил NAT) и которые при этом пытаются инициировать новое соединение (иначе сам маршрутизатор не сможет получать ответы на отправленные запросы - ping, DNS, NTP).
Вывод: если Вы не до конца понимаете какой именно тип трафика я предлагаю блокировать, лучше Вам этим делом и не заниматься.
Попробуйте произвести проверку. Установите для сетевой карты своего компьютера IP адрес в 192.168.100.1, переткните сетевой ккабель из порта LAN в порт WAN и попробуйте снова подключиться к web-серверу. Поскольку по умолчанию доступ из сети бывает запрещен, скорее всего у Вас ничего не получится. Если дело будет обстоять именно так, можете успокоиться и забыть про запрет на доступ к интерфейсу.
Тот пункт, который Вы нашли, вообще говоря не служит целям запрета доступа. Доступ обычно запрещается установкой правил межсетевого экрана (брандмауэра).
А тот, который нашли Вы, позволяет переадресовывать запросы к маршрутизатору на какой-то компьютер локального сегмента и, тем самым, обеспечивать доступ к программе-серверу, запущенной на этом компьютере, из сети.
Однако, именно в Вашем случае можно использовать эту "настройку виртуального сервера" (которую чаще называют перенаправлением портов - port forwarding) для обеспечения защиты своего web-сервера. Хоть это и не совсем правильно (но разница чисто теоретическая - это неправильно потому, что не элегантно, а не потому, что не работает).
Установите протокол TCP, начальный внешний порт 80, начальный внутренний порт 80, конечные не указывайте совсем (или тоже установите их в 80), а внутренний IP поставьте такой, чтобы он не соответствовал ни одному из Ваших устройств. К примеру, 192.168.0.123.
Это правило эффективно блокирует доступ к web-серверу из сети, хотя способ сам по себе и безобразный.
Должен оговориться, что данный способ всё же не является полноценной заменой блокированию 80-го порта (если Вы блокируете только один порт, у Вас не возникает тех проблем о которых я писал ранее, наподобие неработоспособности выполненных на маршрутизаторе команд ping или попыток установить время по NTP). Разница состоит в том, что после переадресации пакеты не будут приниматься только на WAN-интерфейс, но адрес, скорее всего, будет по-прежнему доступен из локального сегмента. Это не слишком стрпшно - разница невелика.
Надеюсь, кто-нибудь из владельцев D-Link'овских маршрутизаторов подскажет Вам как закрыть порт более правильным образом - командой "iptables -p tcp -d 192.168.100.100 --dport 80 -j DROP". Естественно, эта команда не вводится напрямую. Для неё, так же как и для перенаправления портов, есть соответствующий пункт меню.
