Cấu hình bộ lọc cho Router Vigor
Router Vigor cho phép bạn thiết lập bộ lọc packet (còn gọi là firewall), nhờ vào bộ lọc này gói tin được chặn hay cho phép đi qua router phụ thuộc vào điều kiện bạn đã chỉ định. Những điều kiện bạn có thể lọc bao gồm địa chỉ IP, cổng, giao thức, và kết hợp nhiều rule lại với nhau tạo nên 1 bức tường lửa chính xác và mạnh mẽ.
Bài Viết này có thể áp dụng với các dòng Dual wan Vigor router sau: V2910, V2820, V2930, V2950, V5500, V5510 …..
Vui lòng chú ý đến việc cài đặt những luật này, bạn phải quen thuộc với cách làm việc của địa chỉ IP và subnet mask. Bạn có thể làm cho tất cả mọi người rớt mạng nếu bạn thiết lập 1 rule không chính xác.
Mặc dù những ví dụ ở đây có lẽ không phù hợp với đòi hỏi riêng của bạn, chúng tôi đề nghị bạn làm thử nhiều lần để hiểu được cách làm việc của firewall trên Router Vigor trước khi đưa vào áp dụng chính thức cho hệ thống của mình. Để cấu hình rule cho firewall thì bạn vào giao diện web của router Vigor. Theo hình sau:
Vào mục Firewall => Filter setup
Vào mục Firewall => Filter setup
Ví dụ 1 - Ngăn ngừa máy tính truy cập các web site
Trong ví dụ này, chúng ta muốn chặn không cho máy tính có địa chỉ IP 192.168.1.10 duyệt web. Vẫn cho phép máy tính này sử dụng những dịch vụ Internet khác như là email, FTP.... Trình duyệt Web hoạt động với giao thức TCP cổng 80.
Cần tạo 1 rule với các yêu cầu như sau:
- Comments : Cấm ip10
- Direction : Ra ngoài (vào Internet) LAN -> WAN
- Source : 192.168.1.10
- Destination : bất kỳ
- Service Type: TCP port 80
- Action: Chặn ngay lặp tức
- Áp dụng vào firewall .
Do Firewall xét rule từ trên xuống, nên Chọn 1 Rule còn trống kế tiếp rule có sẳn.
Khai báo như hình dưới, chú ý những phần khoanh tròn.
Để khai báo Source IP và Service Type bạn click vào nút Edit tương ứng và khai báo theo 2 hình sau:
Khai báo Source IP
Khai báo Service Type
Hãy nhớ rằng luật này sẽ áp dụng cho máy tính với địa chỉ IP hiện hành. Nếu bạn sử dụng DHCP và không khóa cứng địa chỉ IP ( Dùng tính năng bind IP to MAC để luôn cấp cho máy tính 1 ip cố định) hoặc bạn có thể gán ip tĩnh trên mỗi máy tính nếu không dùng chức năng Bind IP to MAC của vigor router.
*** Chuyện gì sẽ xảy ra nếu bạn không cố định địa chỉ IP cho máy 192.168.1.10, Nếu bạn không cố định địa chỉ IP này cho máy tính cần cấm, thì sau khi máy tính đó khởi động lại có thể nhận địa chỉ IP khác ( đặc điểm của DHCP), lúc đó rule của bạn bị mất tác dụng với máy đó, thậm chí có thể áp dụng nhầm lên máy khác ( lúc này máy khác lại nhận ip 192.168.1.10)
Một khi rule ở trên đã được lưu lại, bạn có thể kiểm tra nó. Vào máy tính với địa chỉ IP 192.168.1.10, mở web browser của bạn và cố gắng truy cập vào web site. Nếu rule được cấu hình chuẩn xác, trang web sẽ không hiển thị.
Ví dụ 2 - Cấm hết, chỉ cho 1 máy tín truy cập internet
Tình huống, công ty của bạn không cho phép bất cứ máy tính nào truy cập internet, ngoại trừ máy của sếp ( máy sếp có ip 192.168.1.100)
Để làm được điều này, ta cần sử dụng 2 rule như sau:
- Rule 1: Khóa tất cả ( Phần action chọn hành động là Block If no Further Match)
- Rule 2: cho phép ip 192.168.1.100 được truy cập internet.
Sự khác biệt giữa Action Block Immediately trong ví dụ 1 và Action Block If No Further Match trong ví dụ 2 là gì?
- Với Action Block Immediately: Khóa ngay lặp tức, và không cần quan tâm đến rule sau.
- Với Action Block If No Further Match: xét rule sau xem có cho đi không rồi mới khóa.
Sau đây là phần cấu hình.
Rule 1: Khóa tất cả
Direction: LAN -> WAN
Source ip: tất cả
Destination IP : Tất cả
Service Type: Tẩt cả.
Action: Block If No Further Match
Rule 2: allow 100
Direction: LAN -> WAN
Source ip: 192.168.1.100
Destination IP : Tất cả
Service Type: Tẩt cả.
Action: Pass Immediately
(Hồ Đăng Việt
Support Team
0909 772 009)
Support Team
0909 772 009)
Video dính kèm:
Chặn từ khóa
Chặn theo giờ:
No comments:
Post a Comment
Ghi một nhận xét ( bỏ dấu =)
- Tô đậm: "câu muốn tô đậm"
- Chữ nghiêng: " câu muốn in nghiêng "
- Chèn link: "text"
- Chèn hình: "[img]link hình muốn chèn[/img]"
- Chèn video: "[youtube]link video cần chèn[/youtube]"