Filtrowanie ruchu LAN-LAN

Główne założenia przykładu:
– urządzenia z podsieci LAN2 192.168.2.X mają dostęp tylko do 192.168.1.10 w podsieci LAN1 192.168.1.X.

W przypadku komunikacji w obrębie tej samej podsieci pakiety są przesyłane bezpośrednio pomiędzy urządzeniami z pominięciem bramy(routera) – filtrowanie jest możliwe za pomocą ACL w switchu zarządzalnym.

LAN

Przejdź do zakładki LAN >> VLAN.
Zaznacz Enable i wskaż odpowiednie relacje VLAN.
W przykładzie:
– porty LAN P1~P2 przynależą do podsieci LAN1 bez VLAN Tag
– porty LAN P3~P4 przynależą do podsieci LAN2 bez VLAN Tag

Przejdź do zakładki LAN >> General Setup.
Kliknij przycisk Details Page, aby zmienić adresację podsieci LAN.

W tabeli Inter-LAN Routing włącz routing pomiędzy podsieciami LAN1 i LAN2 w obu kierunkach.

Obiekty

Przejdź do zakładki Object Setting >> IP Object.
Utwórz obiekty IP.
Obiekt IP podsieci LAN1 192.168.1.0/24.
Obiekt IP podsieci LAN2 192.168.2.0/24.
Obiekt IP urządzenia 192.168.1.10.

Reguły Firewall

Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że filtr danych Data Filter jest włączony i rozpocznie on pracę od zestawu startowego 1 (Set#1).
W starszych routerach / w starszych wersjach firmware domyślnym zestawem startowym filtru danych jest zestaw 2 (Set#2).
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 1, aby przejść do ustawień domyślnego zestawu filtru danych.
W starszych routerach / w starszych wersjach firmware domyślny filtr danych jest w zestawie 2.

Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 1 Reguła 2
– Zaznacz Enable.
– Wpisz nazwę reguły.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguła dotyczyła ruchu pomiędzy podsieciami LAN
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN2 192.168.2.0/24.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać docelowy adres IP urządzenia 192.168.1.10.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
-W polu Service Type pozostaw Any, aby reguła dotyczyła dowolnej usługi.
Jeśli chcesz zezwolić na dostęp tylko do wybranych usług to wybierz obiekt Service Type, który należy wcześniej zdefiniować w Object Setting >> Service Type Object.
– Wybierz akcję Pass Immediately, aby Vigor przepuszczał ruch z podsieci LAN2 do urządzenia w podsieci LAN1.

Zestaw 1 Reguła 3
– Zaznacz Enable.
– Wpisz nazwę reguły.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguła dotyczyła ruchu pomiędzy podsieciami LAN.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN2 192.168.2.0/24.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN1 192.168.1.0/24.
– Wybierz akcję Block Immediately, aby Vigor blokował pozostały ruch z podsieci LAN2 do podsieci LAN1.