Filtrowanie ruchu LAN-LAN
Główne założenia przykładu:
– urzÄ…dzenia z podsieci LAN2 192.168.2.X majÄ… dostÄ™p tylko do 192.168.1.10 w podsieci LAN1 192.168.1.X.
W przypadku komunikacji w obrÄ™bie tej samej podsieci pakiety sÄ… przesyÅ‚ane bezpoÅ›rednio pomiÄ™dzy urzÄ…dzeniami z pominiÄ™ciem bramy(routera) – filtrowanie jest możliwe za pomocÄ… ACL w switchu zarzÄ…dzalnym.
LAN
Przejdź do zakładki LAN >> VLAN.
Zaznacz Enable i wskaż odpowiednie relacje VLAN.
W przykładzie:
– porty LAN P1~P2 przynależą do podsieci LAN1 bez VLAN Tag
– porty LAN P3~P4 przynależą do podsieci LAN2 bez VLAN Tag
Przejdź do zakładki LAN >> General Setup.
Kliknij przycisk Details Page, aby zmienić adresację podsieci LAN.
W tabeli Inter-LAN Routing włącz routing pomiędzy podsieciami LAN1 i LAN2 w obu kierunkach.
Obiekty
Przejdź do zakładki Object Setting >> IP Object.
Utwórz obiekty IP.
Obiekt IP podsieci LAN1 192.168.1.0/24.
Obiekt IP podsieci LAN2 192.168.2.0/24.
Obiekt IP urzÄ…dzenia 192.168.1.10.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że filtr danych Data Filter jest włączony i rozpocznie on pracę od zestawu startowego 1 (Set#1).
W starszych routerach / w starszych wersjach firmware domyślnym zestawem startowym filtru danych jest zestaw 2 (Set#2).
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 1, aby przejść do ustawień domyślnego zestawu filtru danych.
W starszych routerach / w starszych wersjach firmware domyślny filtr danych jest w zestawie 2.
Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 1 Reguła 2
– Zaznacz Enable.
– Wpisz nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguÅ‚a dotyczyÅ‚a ruchu pomiÄ™dzy podsieciami LAN
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy adres IP podsieci LAN2 192.168.2.0/24.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać docelowy adres IP urzÄ…dzenia 192.168.1.10.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
-W polu Service Type pozostaw Any, aby reguła dotyczyła dowolnej usługi.
Jeśli chcesz zezwolić na dostęp tylko do wybranych usług to wybierz obiekt Service Type, który należy wcześniej zdefiniować w Object Setting >> Service Type Object.
– Wybierz akcjÄ™ Pass Immediately, aby Vigor przepuszczaÅ‚ ruch z podsieci LAN2 do urzÄ…dzenia w podsieci LAN1.
Zestaw 1 Reguła 3
– Zaznacz Enable.
– Wpisz nazwÄ™ reguÅ‚y.
– Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguÅ‚a dotyczyÅ‚a ruchu pomiÄ™dzy podsieciami LAN.
– W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy adres IP podsieci LAN2 192.168.2.0/24.
– W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać źródÅ‚owy adres IP podsieci LAN1 192.168.1.0/24.
– Wybierz akcjÄ™ Block Immediately, aby Vigor blokowaÅ‚ pozostaÅ‚y ruch z podsieci LAN2 do podsieci LAN1.
