Filtrowanie ruchu WAN-Localhost na podstawie kodu kraju
Główne założenia przykładu:
– usÅ‚ugi VPN sÄ… dostÄ™pne z Internetu tylko dla urzÄ…dzeÅ„ prezentujÄ…cych siÄ™ adresami IP przynależącymi do Polski
Kierunek filtru WAN->Localhost
-odnosi się do ruchu z Internetu do usług routera czyli m.in. VPN.
-jest wspierany m.in. przez Vigor2927 od wersji firmware 4.4.0, Vigor2962/3910 od wersji firmware 4.3.1
Dodatkowo w celu zwiększenia ochrony możesz włączyć ochronę przed atakami brute force dla usług VPN.
Zapoznaj się z przykładem Ochrona routera przed atakami brute force.
VPN
Przejdź do zakładki VPN and Remote Access.
Skonfiguruj usługi VPN.
Zapoznaj się z przykładami VPN.
Obiekty
Przejdź do zakładki Object Setting >> Country Object.
Utwórz obiekt kraju.
Obiekt kraju dla Polski.
Przejdź do zakładki Object Setting >> Service Type Object.
Utwórz obiekty typów usług.
W omawianym przykładzie pominięto PPTP, gdyż protokół nie jest uznawany jako bezpieczny.
Zapoznaj się z przykładami Protokoły i porty VPN.
Domyślnie SSL VPN oraz HTTPS(zarządzanie routerem) używają tego samego portu 443.
Zmień domyślny port jeśli nie chcesz filtrować HTTPS.
Przejdź do zakładki Object Setting >> Service Type Group.
Utwórz grupę obiektów typów usług.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że włączony jest filtr danych oraz zestaw 2 jest startowy, który zostanie wykorzystany do blokowania ruchu z Internetu.
W nowszych wersjach firmware domyślnym zestawem startowym filtru danych jest Set#1.
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 2, aby przejść do ustawień domyślnego zestawu filtru danych.
Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 2 Reguła 2
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz WAN->Localhost, aby reguła dotyczyła ruchu z Internetu do usług routera.
W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy kod kraju.
W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać grupę usług VPN.
Wybierz akcję Pass Immediately, aby Vigor przepuszczał ruch VPN z Internetu z adresów IP przynależących do Polski.
Zestaw 2 Reguła 3
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz WAN->Localhost, aby reguła dotyczyła ruchu z Internetu do usług routeraj.
W polu Source IP pozostaw Any, aby reguła dotyczyła wszystkich IP.
W polu Service Type kliknij przycisk Edit, aby w nowym oknie wskazać grupę usług VPN.
Wybierz akcję Block Immediately, aby Vigor blokował pozostały ruch VPN z Internetu.