Допустим, что нужно разрешить доступ в глобальную сеть только рабочим станциям с IP-адресами 192.168.1.10.0 – 192.168.10.63.

Рассмотрим пример со входящим пакетом. Предположим, что мы включили это правило фильтрации в фильтр входящих данных в Меню 3.1.

Для входного IP-адреса используется маска 255.255.255.192. В этом случае результат маскирования сравнивается с IP-адресом источника на предмет их идентичности. При этом может иметь место «Соответствие» или «Несоответствие».

Предположим, пакет с IP-адресом источника 192.168.10.65 входит в модем, маскируется с маской 255.255.255.192, результат — 192.168.10.64, который не равен 192.168.10.0.

Таким образом, мы имеем случай несоответствия, поэтому пакет сбрасывается модемом в соответствии с правилом фильтрации, определенным нами ранее. Другой пример — пакет с IP-адресом источника 192.168.10.2 входит в модем, маскируется с маской 255.255.255.192, результат — 192.168.10.0, который идентичен IP-адресу источника. Это случай соответствия. 

В заголовке IP существует поле Протокол (IP Protocol), которое определяет протокол верхнего уровня, инкапсулирующийся в IP-пакет.

Напр., если протоколом верхнего уровня является протокол управления сообщениями Интернет (Internet Control Message Protocol – ICMP), значение этого поля — 1.

Существуют также поля IP-адрес источника (Source IP Addr) и IP-адрес назначения (Destination IP Addr), в которых указывается соответственно IP-адрес источника и IP-адрес назначения пакета.

Модем просматривает эти поля и решает, блокировать или переслать пакеты, в зависимости от того, какой набор правил фильтрации сконфигурирован в Меню 21.

В заголовке TCP первые два байта занимает Порт источника, а следующие два байта — Порт назначения, которые определяют услугу верхнего уровня.

Модем просматривает эти поля и решает, блокировать или разрешить конкретную услугу или вариант использования.

Напр., для услуги передачи файлов через FTP предназначены порты 20 и 21, а для услуги Web — порт назначения 80.

Чтобы определить, принадлежит ли IP-адрес к диапазону, установленному в правиле фильтрации, маршрутизатор рассматривает IP-адрес не как десятичное число, а как двоичное число 11000000.10101000.00001010.00000010.

Адрес маски подсети — 255.255.255.192. Маршрутизатор воспринимает это число как 11111111.11111111.11111111.11 000000. Маска подсети указывает на то, что маршрутизатор заимствовал шесть бит для создания подсетей. Маршрутизатор берет эти два фрагмента информации, IP-адрес источника, передаваемый с данными, и маску подсети, и умножает их бит за битом с помощью логического «И».


При логическом умножении двоичного разряда на 1 значение двоичного разряда не меняется. При логическом умножении на 0 значение двоичного разряда всегда равно становится равным нулю. Поэтому, когда маршрутизатор выполняет операцию умножения с помощью логического «И», часть IP-адреса, относящаяся к хост-машине, обнуляется.

Маршрутизатор рассматривает только левую часть IP-адреса, представляющую собой номер сети, включая подсеть. В данном примере при умножении 192.168.10.2 на 255.255.255.192 с помощью логического «И» получается 192.168.10.0, что является адресом данной подсети. В то же время, при умножении 192.168.10.65 на 255.255.255.192 с помощью логического «И» получается 192.168.10.64, что является адресом другой подсети.

Если Вы хотите работать с другим диапазоном IP-адресов, напр., 192.168.10.64 — 127, следует установить IP-адрес источника

192.168.10.64.

Если Вы хотите работать с конкретным IP-адресом, следует установить этот IP-адрес непосредственно с маской подсети 255.255.255.255.

После настройки правил фильтрации укажите номер фильтра в Меню 3.1 – Фильтр входящих пакетов для его реализации.

Читайте ранее:
SMT-интерфейс в устройствах ZyXEL.

Устройства ZyXEL (такие, как модемы, маршрутизаторы, шлюзы и т.п.), выпускаемые в настоящее время, имеют встроенный веб-конфигуратор, предназначенный в качестве основного...

Закрыть