Filtrowanie ruchu WAN-Localhost na podstawie kodu kraju
Główne założenia przykładu:
– usÅ‚ugi VPN sÄ… dostÄ™pne z Internetu tylko dla urzÄ…dzeÅ„ prezentujÄ…cych siÄ™ adresami IP przynależącymi do Polski
Kierunek filtru WAN->Localhost
-odnosi się do ruchu z Internetu do usług routera czyli m.in. VPN.
-jest wspierany m.in. przez Vigor2927 od wersji firmware 4.4.0, Vigor2962/3910 od wersji firmware 4.3.1
Dodatkowo w celu zwiększenia ochrony możesz włączyć ochronę przed atakami brute force dla usług VPN.
Zapoznaj się z przykładem Ochrona routera przed atakami brute force.
VPN
Przejdź do zakładki VPN and Remote Access.
Skonfiguruj usługi VPN.
Zapoznaj się z przykładami VPN.
Obiekty
Przejdź do zakładki Object Setting >> Country Object.
Utwórz obiekt kraju.
Obiekt kraju dla Polski.
Przejdź do zakładki Object Setting >> Service Type Object.
Utwórz obiekty typów usług.
W omawianym przykładzie pominięto PPTP, gdyż protokół nie jest uznawany jako bezpieczny.
Zapoznaj się z przykładami Protokoły i porty VPN.
Domyślnie SSL VPN oraz HTTPS(zarządzanie routerem) używają tego samego portu 443.
Zmień domyślny port jeśli nie chcesz filtrować HTTPS.
Przejdź do zakładki Object Setting >> Service Type Group.
Utwórz grupę obiektów typów usług.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że filtr danych Data Filter jest włączony i rozpocznie on pracę od zestawu startowego 1 (Set#1).
W starszych routerach / w starszych wersjach firmware domyślnym zestawem startowym filtru danych jest zestaw 2 (Set#2).
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 1, aby przejść do ustawień domyślnego zestawu filtru danych.
W starszych routerach / w starszych wersjach firmware domyślny filtr danych jest w zestawie 2.
Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 1 Reguła 2 ma na celu przepuszczenie usług VPN do routera z adresów IP przynależących do Polski
– Zaznacz Enable.
– Wpisz nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz WAN->Localhost, aby reguÅ‚a dotyczyÅ‚a ruchu z Internetu do usÅ‚ug routera.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy kod kraju.
– W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać grupÄ™ usÅ‚ug VPN.
– Wybierz akcję Pass Immediately, aby Vigor przepuszczaÅ‚ ruch VPN z Internetu z adresów IP przynależących do Polski.
Zestaw 1 Reguła 3 ma na celu blokowanie usług VPN do routera z pozostałych adresów IP
– Zaznacz Enable.
– Wpisz dowolnÄ… nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz WAN->Localhost, aby reguÅ‚a dotyczyÅ‚a ruchu z Internetu do usÅ‚ug routeraj.
– W polu Source IP pozostaw Any, aby reguÅ‚a dotyczyÅ‚a wszystkich IP.
– W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać grupÄ™ usÅ‚ug VPN.
– Wybierz akcję Block Immediately, aby Vigor blokowaÅ‚ pozostaÅ‚y ruch VPN z Internetu.
