Использование и настройка фильтра TCP/IP-пакетов в устройствах ZyXEL.
Допустим, что нужно разрешить доступ в глобальную сеть только рабочим станциям с IP-адресами 192.168.1.10.0 – 192.168.10.63.
Рассмотрим пример со входящим пакетом. Предположим, что мы включили это правило фильтрации в фильтр входящих данных в Меню 3.1.
Для входного IP-адреса используется маска 255.255.255.192. В этом случае результат маскирования сравнивается с IP-адресом источника на предмет их идентичности. При этом может иметь место «Соответствие» или «Несоответствие».
Предположим, пакет с IP-адресом источника 192.168.10.65 входит в модем, маскируется с маской 255.255.255.192, результат — 192.168.10.64, который не равен 192.168.10.0.
Таким образом, мы имеем случай несоответствия, поэтому пакет сбрасывается модемом в соответствии с правилом фильтрации, определенным нами ранее. Другой пример — пакет с IP-адресом источника 192.168.10.2 входит в модем, маскируется с маской 255.255.255.192, результат — 192.168.10.0, который идентичен IP-адресу источника. Это случай соответствия.
В заголовке IP существует поле Протокол (IP Protocol), которое определяет протокол верхнего уровня, инкапсулирующийся в IP-пакет.
Напр., если протоколом верхнего уровня является протокол управления сообщениями Интернет (Internet Control Message Protocol – ICMP), значение этого поля — 1.
Существуют также поля IP-адрес источника (Source IP Addr) и IP-адрес назначения (Destination IP Addr), в которых указывается соответственно IP-адрес источника и IP-адрес назначения пакета.
Модем просматривает эти поля и решает, блокировать или переслать пакеты, в зависимости от того, какой набор правил фильтрации сконфигурирован в Меню 21.
В заголовке TCP первые два байта занимает Порт источника, а следующие два байта — Порт назначения, которые определяют услугу верхнего уровня.
Модем просматривает эти поля и решает, блокировать или разрешить конкретную услугу или вариант использования.
Напр., для услуги передачи файлов через FTP предназначены порты 20 и 21, а для услуги Web — порт назначения 80.
Чтобы определить, принадлежит ли IP-адрес к диапазону, установленному в правиле фильтрации, маршрутизатор рассматривает IP-адрес не как десятичное число, а как двоичное число 11000000.10101000.00001010.00000010.
Адрес маски подсети — 255.255.255.192. Маршрутизатор воспринимает это число как 11111111.11111111.11111111.11 000000. Маска подсети указывает на то, что маршрутизатор заимствовал шесть бит для создания подсетей. Маршрутизатор берет эти два фрагмента информации, IP-адрес источника, передаваемый с данными, и маску подсети, и умножает их бит за битом с помощью логического «И».
При логическом умножении двоичного разряда на 1 значение двоичного разряда не меняется. При логическом умножении на 0 значение двоичного разряда всегда равно становится равным нулю. Поэтому, когда маршрутизатор выполняет операцию умножения с помощью логического «И», часть IP-адреса, относящаяся к хост-машине, обнуляется.
Маршрутизатор рассматривает только левую часть IP-адреса, представляющую собой номер сети, включая подсеть. В данном примере при умножении 192.168.10.2 на 255.255.255.192 с помощью логического «И» получается 192.168.10.0, что является адресом данной подсети. В то же время, при умножении 192.168.10.65 на 255.255.255.192 с помощью логического «И» получается 192.168.10.64, что является адресом другой подсети.
Если Вы хотите работать с другим диапазоном IP-адресов, напр., 192.168.10.64 — 127, следует установить IP-адрес источника
192.168.10.64.
Если Вы хотите работать с конкретным IP-адресом, следует установить этот IP-адрес непосредственно с маской подсети 255.255.255.255.
После настройки правил фильтрации укажите номер фильтра в Меню 3.1 – Фильтр входящих пакетов для его реализации.