Фильтрация IP трафика, путем использования средств ADSL модема.

[agir2000]

Написать данную статью меня побудило это сообщение :http://ulanovka.ru/forum/viewtopic.php?t=26303, сначала решил что все это здесь "обсасывалось", но по поиску нашлось куча ссылок где предлагалось использовать фильтрацию по портам, в частности используя в качестве фильтра порт торрент-клиента, что, как лично мне кажется, является "забивание микроскопом гвоздей", фильтрация по IP заложена изначально в большинство модемов и этот-же метод используют большинство программ -фаервалов, не кто не мешает использовать этот метод фильтрации и нам , например что-бы запретить модему выходить в "платную" сеть. итак от слов к делу.

Заходим в интерфейс нашего модема (как правило это http://192.168.1.1 ) находим пункт меню "ADVANCED" выбираем его, далее пункт "IP Filters" и там находим ссылочку "Custom IP Filters" (если ее нет, советую обновить версию ПО модема)

нажимаем и видим вверху вот это :

где :

Filter Name - имя правила (по идее пишем что хочем, нельзя писать одни цифры обязательно хоть одну буковку)

Enable - включено если галочка стоит и наоборот.

Source IP - внутренний IP (здесь кстати можно указать компьютер в сети и использовать правило только для него)

Source Netmask - маска вашей сети ("локалка") указывает диапазон IP.

Destination IP - внешний IP или стартовый адрес диапазона IP.

Destination Netmask - маска внешней сети, указывает диапазон IP.

Port Start , Port End - диапазон портов.

Protocol - по какому протоколу будет работать фильтр (в нашем случае всегда - ALL FORWARD)

Action - Accert - разрешить, Deny - запретить.

Создаем первое правило запрещающее все и всем !

ЭТО ПРАВИЛО НЕОБХОДИМО СОЗДАТЬ ПЕРВЫМ !

ПОСЛЕ СОЗДАНИЯ КАЖДОГО ПРАВИЛА НАЖИМАЕМ КНОПКУ "Apply" !!!

Здесь и далее звездочка означает любое значение.

после, создаем правила доступа используя известные диапазоны "внутренних" адресов, например (список диапазонов обновлен 31.08.2009):

• 62.33.83.0 - 62.33.83.255 SIBIRTELECOM
  81.18.122.0 - 81.18.123.255 - SIBIRTELECOM
  87.103.160.0 - 87.103.167.255 - SIBIRTELECOM
  90.188.32.0 - 90.188.63.255 - SIBIRTELECOM
  92.124.192.0 - 92.124.223.255 - SIBIRTELECOM
  92.126.128.0 - 92.126.143.255 - SIBIRTELECOM
  95.188.192.0 - 95.188.223.255 - SIBIRTELECOM
  212.0.64.0 - 212.0.95.255 - Burnet
  

начнем например с Burnet'a :

и далее по аналогии ....

в результате должно получится примерно так :

Внимательность и еще раз внимательность !

Перед сохранением правила проверьте поля Protocol и Accert.

--------------------------------------------------------------------------------------------------------------------------

Ну вот все и сделано, враг как говорится - не пройдет !

для того что-бы открыть "внешку" поставте отметку в поле "Edit" первого правила и уберите галочку Enabled,

после чего нажмите "Apply".

НЕ УДАЛЯЙТЕ ПЕРВОЕ ПРАВИЛО !!! иначе придется забивать все правила по новой, начиная с первого !

--------------------------------------------------------------------------------------------------------------------------

Замечу что на мой взгляд это самый эффективный метод защиты от внешнего трафика + никакая вредоносная программа (вирус) не сможет выйти в интернет, при этом вы можете без ограничений использовать "бесплатную" сеть, при желании в список фильтров можно добавить сервер ICQ, mail.ru, и т.д. при этом конечно, "внешний" трафик естественно будет расходоваться.

[genemy]

я думаю все же лучше указать Source IP / Source Netmask

навсякий пожарный

так же нужно зайти в LAN Clients и добавить себя

[agir2000]

я думаю все же лучше указать Source IP / Source Netmask

навсякий пожарный

так же нужно зайти в LAN Clients и добавить себя

Зачем ? Source - это устройства подключеные к net интерфейсу модема (т.е. те самые разъемчики rj-45 сзади коробочки) и если вы считаете что ваш компьютер способен выходить в интернет сам по себе (без модема) то конечно да... ну а так это лишние "параноидальные" телодвижения , указывать Source IP / Source Netmask имеет смысл в том салучае если вы хотите какой-либо машине из вашей сети , например выходить в интернет без ограничения (как например в ваших скринах), кстати в вашем случае проще использовать просто ip filters на конкретный интерфейс, что-бы не заморачиваться с лан клиентами.

[genemy]

agir2000 у меня как раз дома сеть, в которую включен мой модем

[agir2000]

genemy

Т.е. ты хохешь что-бы остальные компьютеры крутились внутри "бесплатной" зоны, а твой компьютер мог выходить в "полный" интернет, в таком случае добавь после всех моих правил свое последнее где ты разрешаешь выход своего компьютера в "полную" сеть, желательно указать порты : 80 - http протокол для работы браузера, ну и допустим протоколы аськи, фтп клиента и т.д. по необходимости, соответственно для каждого порта создается отдельное правило в котором меняется только поле port start/port end.

[NAT]

Спс круто! а то я не мог всё понять как диапазоны вводить ;d

[genemy]

agir2000 нет не хочу, я один свой инет юзаю )

[NAT]

Ещё сохранить не забудьте, а то после ребута модема всё сбрасывается

agir2000

а как узнать Destination Netmask зная диапазон IP'ков ?

[agir2000]

NAT

Вобще маска сети вычисляется путем применения логической операции AND, но я думаю это отдельная тема..., если-же тебе на практике нужно выяснить диапазон IP по маске и наоборот, можешь воспользоваться моей программкой http://www.ulanovka.ru/forum/viewtopic.php?p=638037#638037

P.S.

Ещё сохранить не забудьте, а то после ребута модема всё сбрасывается

Действительно очень важное замечание, каюсь упустил.

[dinamit]

Спасибо! Ваща статья и личная помощь мне очень помогла

[Natsu]

да я тоже задумывался над этим.. но у меня модем dsl2500U а там возможности подобной настройки я не нашел...

может все же есть способ задействовать фаервол в этом модеме? кто знает-отпишите, буду благодарен.

[NAT]

зачем тут эти Port Start: и Port End: если не работают? ввожу туда порты, а когдая всё сохраняется всё сбрасывается на *

[agir2000]

Natsu

Пару раз настраивал подобные модемы...

(взято из документации)

По логике настраивается как и для Acorp'ов, единственно что, запрещающее правило создавать не надо, по умолчанию действует принцип "запрещено что не разрешено" , что-бы открывать интернет достаточно создать всеразрешающее правило и использовать его.

NAT

зачем тут эти Port Start: и Port End: если не работают? ввожу туда порты, а когдая всё сохраняется всё сбрасывается на *

Так быть не должно. Возможно интервал портов задан от большего к меньшему, ну или-же попробуй поставить один порт в оба поля (правило для одного порта), во всяком случае многие используют здесь это правило используя номер порта торрент-клиента (что не очень удобно и не совсем правильно - ИМХО) и все работает.

[Po$amax@]

а че у меня некоторых полей нету?

[Black_XS]

genemy

Помоги добавить себя в LAN Client. Какой IP и Hostname надо вводить?

Добавлено спустя 16 минут 10 секунд:

agir2000

У меня вкладка IP Filters не открывается, вылазит ошибка, что надо ввести IP address в LAN Client. Чё надо сделать, и какой IP вводить, если надо?

[agir2000]

Po$amax@

Обновить версию ПО. Посмотри какая сейчас у тебя стоит

Black_XS

У меня вкладка IP Filters не открывается, вылазит ошибка, что надо ввести IP address в LAN Client. Чё надо сделать, и какой IP вводить, если надо?

Скорее всего ты используешь статический ip в локальной сети или если у тебя сетка через хаб , хотя по дефолту lan1 уже содержит информацию о хостах подключенных к модему, но если это хаб то он соответственно не будет иметь своего ip.

[Po$amax@]

Software Versions

Acorp Firmware V.1.0.14-3.RU

Gateway 3.6.0D

ATM Driver 6.00.01.00

DSL HAL 6.00.01.00

DSL Datapump 6.00.04.00 Annex A

SAR HAL 01.07.2b

PDSP Firmware 0.54

Boot Loader 1.4.0.4

[genemy]

Какой IP и Hostname надо вводить?

Ваш ip и название машины

пуск > выполнить > cmd > ipconfig -all

[agir2000]

V.1.0.14-3.RU

скачай и обнови я надеюсь не ошибся у тебя Acorp-120/420? если у тебя другая модель отпишись.

http://ulanovka.ru/forum/viewtopic.php?p=642488#642488

[Po$amax@]

agir2000

там LAN120M нет поддержки =( Ц тебя есть другой BINарник?

[agir2000]

Po$amax@

там LAN120M нет поддержки =( Ц тебя есть другой BINарник?

Вообще-то 120 и 120M прошивки одинаковые ... насколько я помню.

вот выложил прошивки на acorp'ы, все самые послендние

http://ulanovka.ru/forum/viewtopic.php?p=645266#645266

[Intel_agent]

120 и 120M прошивки одинаковые

Нет! Хочу заметить, что прошивка 120 не подходит для 120M

Буква М в наименовании модели, значит, что аппаратная часть модема модифицирована, по сравнению с моделью, в которой нет данной буквы.

[agir2000]

agir2000, DSP 7.6 самая последняя, а у тебя ее нет, имхо, она самая стабильная из всех существующих

Допускаю, но прошивки выложеные на офф.сайте имеют именно DSP 7.5 (а одна даже 7.4), большинство 7.6 в бета разработке (котрая может длится и по пол-года) хотя если у тебя есть финальные прошивки с DSP 7.6 , выложи обязательно - скачаю, прошивание модемов не является моей основной специальностью, так от случая к случаю, поэтому допускаю что для меня "последнее" вполне может быть уже не последним..., в конце концов в названии каждого файла имеется информация о версии ПО и дело каждого качать или нет.

Замечу что данная раздача была создана , в первую очередь, для тех у кого недоработано меню Custom IP Filters.

agir2000 писал(а):

120 и 120M прошивки одинаковые

Нет! Хочу заметить, что прошивка 120 не подходит для 120M

Буква М в наименовании модели, значит, что аппаратная часть модема модифицирована, по сравнению с моделью, в которой нет данной буквы.

прошивки абсолютно одинаковые ! открой WinHex и сравни по-байтно. Давайте вначале проверять информацию, а потом нести ее "в массы", предоставь ссылку где можно скачать ПО для укропов с ДСП 7.6, или адреса по которым, наприме Acorp_nsp_LAN120_V.1.1.00.RU.23102007_AnnexA_DSP75 и Acorp_nsp_LAN120M_V.1.1.00.RU.23102007_AnnexA_DSP75 различаются, тогда я извинюсь и признаюсь что я не прав.

[Po$amax@]

а стоит ли прошивать? Как узнать есть ли у меня дефект или нет его?

[agir2000]

а стоит ли прошивать? Как узнать есть ли у меня дефект или нет его?

Если работа модема вас устраивает, то конечно обновлять не стоит. Новые версии позволяют использовать некоторые функции модема ранее не использованые. Что-бы понять работу ПО модема нужно знать что "прошивка" она-же SW (software) она-же ПО (программное обеспечение) является программой (я бы даже сказал операционной системой) базирующейся (как правило) на Unix системе. Вопреки бытующему мнению что в той или иной версии скорость выше или ниже, я предлагаю представить себе канал связи с интернетом в виде обычной водопроводной трубы, из чего будет складываться скорость воды? 1.-диаметр трубы 2.-давление под которым подается вода. За первое примем ширину пропускного канала DSL и эта максимальная переменная технически неизменна, она божет быть хуже за счет плохих телефонных линий, неисправного сплитера или других промежуточных устройств. Второе ("давление") а вот это уже скорость с какой провайдер разрешает использовать ваш канал, соответственно какую-бы "насосную" аппаратуру вы не устанавливали у себя вы не выкачаете больше чем это возможно.

Другой вопрос, что мы посылаем в виде запросов ? действительно многие стандартные настройки ОС вынуждают компьютер посылать на ряду с полезной информацией много "лишнего" т.н. служебная информация + между запросами вставляются интервалы, для более четкого распознавания команд, все это вместе взятое субъективно влияет на общую скорость соединения, естественно есть программы которые исправляют эту ситуацию т.н. ускорители интернет, но не нужно ждать чуда, скорость может увеличится максимум на 3 от силы 5% что практически не заметно. вот тут мы подходим к модему. Если нельзя изменить способ доставки "интернета" так может тогда "упаковать" его получше ? - задумались производители. И вот стали появляться новые стандарты связи: ADSL2 , ADSL2+, и т.д. но... стоимость нового модема ~от 1000р. а узлового концентратора (тот что на АТС) в сотни раз больше поэтому провайдеры не спешат менять свое оборудование как минимум по двум причинам 1.-стоимость 2.-как показала практика скорость передачи практически не увеличивается, опять-же из-за "не очень" хорошего качества телефонных линий, чинить и перекладывать которые нет смысла т.к. с экономической стороны проще проложить опто-волокно.

К чему я все это ? А к тому, что путем прошивки, а то и замены модема мы можем получить исходный вариант как было и "до", если вариант с прошивкой требует только вдумчивых действий и никаких капиталовложений , то покупка нового модема требует уже и материальных вложений.

P.S. Данный текст не претендует на учебное пособие, просто так я объясняю своим знакомым, зачастую далеким от интернета, все по возможности упрощенно и опущены некоторые технические уточнения. Кто хочет узнать больше - Гугл в помощь.