В статье объясню как правильно настроить фильтры dsl-модема Zyxel 600-ой серии и рассмотрю несколько основных моментов конфигурации: ограничение доступа к определённому диапазону IP-адресов; открытие определённых портов на определённый IP-адрес; открытие полного доступа к интернету выбранному IP-адресу.
Данная информация рассчитана прежде всего на новичков, поэтому изобилует большим количеством скриншотов и подробным описание действий, которые обычному пользователю могут показаться совершенно не требующими комментариев. Прошу отнестись с пониманием.
Конфигурирование модема будем осуществлять через сетевой протокол telnet. Вдаваться в подробности описания и объяснять принципы работы данного протокола нет смысла, ибо это выходит за рамки данной статьи. Кроме того, хочется отметить - данная статья не рассматривает настройку WAN модема. Предполагается, модем заранее сконфигурирован в режиме роутера, и уже поднято соединение pppoe.
1. Заходим Пуск - Выполнить.
Рисунок 1.
2. Теперь необходимо запустить командную строку Microsoft Windows. Для этого, в появившемся окне запуска программы, вводим команду:
Код:cmd
Пример показан на рисунке 2.
Рисунок 2.
3. Перед нами командная строка. Коннектимся к модему путём выполнения следующей команды:
Код:telnet 192.168.0.197
Где 192.168.0.197 - IP-адрес вашего модема. По-умолчанию, модем имеет IP-адрес 192.168.1.1.
Рисунок 3.
4. После чего, система предлагает нам ввести пароль для доступа к модему. Вводим и нажимаем клавишу ввод для подтверждения как на рисунке 4.
Рисунок 4.
5. Перед нами основное меню модема (см. рисунок 5), представленное в два столбца. Каждый пункт имеет соответствующий номер, посредствам которого можно обратиться к нему. К примеру, чтобы зайти в меню 1. General Setup, необходимо ввести номер 1, после чего подтвердить выбор клавишей ввод. Возвращение в предыдущее меню осуществляется с помощью клавиши ESC.
Рисунок 5.
6. Наша задача - выбрать пункт настройки фильтров. Для этого вводим с клавиатуры число 21, что соответствует интересующему нас пункту, выделенному на рисунке 6 синим цветом. Видим, в строке ввода номера, появились введённые данные, отмеченные красным прямоугольником. После чего нажимаем кнопку ввода.
Рисунок 6.
7. Перед нами - меню групп фильтров, показанное на рисунке 7. Именно они отвечают за маршрутизацию и ограничение доступа. Наборы фильтров представлены в два столбца. Первый столбец с номерами от 1 до 6, второй - от 7 до 12. Справа от номера присутствует описание набора, которое пользователь имеет возможность менять по-своему усмотрению. Чтобы приступить к редактированию определённого набора фильтров, в строке ввода Enter Filter Set Number to Configuration необходимо ввести интересующий нас номер набора для редактирования. Этот пункт обведён красным прямоугольником на рисунке ниже.
Видим, в списке имеются наборы фильтров как с "отсутствием" имени (после соответствующего номера стоят знаки подчёркивания "_______" - пункты 1, 4, 5, 6 и т.д.), так и с заданными именами (пункты 2, 3, 11, 12).
Внимание! Наборы фильтров с номерами 2, 3, 11, 12 - системные. Изменение их содержимого или удаление может повлечь за собой крайне некорректную работу системы, которая может быть восстановлена только путём "сброса" модема к заводским настройкам! Будьте предельно внимательны при редактировании.
Рисунок 7.
8. И так, наша задача - создать и сконфигурировать новый набор фильтров. В поле Enter Filter Set Number to Configuration вводим цифру 6 как показано на рисунке 8, после чего нажимаем ввод. Курсор автоматически переместится на строку ниже, и нам предлагается заполнить поле Edit Comments. Это описание нашего набора фильтров. Оно выбирается произвольно. Как изображено на рисунке 8, выбранное мною имя - fset_1 (сокращение от Filter Set №1). После ввода имени, перемещаемся на строку ниже, где предлагается подтвердить наш выбор. Нажимаем кнопку ввода.
Рисунок 8.
9. Перед нами меню конфигурации фильтров текущего набора. Слева представлены числа от 1 до 6, которые служат для выбора и последующего редактирование определённого фильтра. Выбираем первый фильтр путём ввода цифры 1 с последующим нажатием кнопки ввода, как показано на рисунке 9.
Рисунок 9.
10. Видим меню конфигурации текущего фильтра, изображённое на рисунке 10. Путём редактирования настроек, мы можем создать определённые правила маршрутизации.
Рисунок 10.
Коротко пробежимся по некоторым пунктам данного меню, которые будут задействованы в процессе нашей настройки. На первый взгляд, меню кажется "диким" и крайне непонятным, но на самом деле - всё предельно просто.

• Filter #: 6.1 - Номер набора фильтров и после точки(.) - номер текущего фильтра.
  
• Active= No - Этот пункт включает или выключает работу данного фильтра.
  
• Destination: IP Addr= - IP-адрес места назначения текущего маршрута.
  
• Destination: IP Mask= - Маска подсети места назначения текущего маршрута.
  
• Destination: Port#= - Порт места назначения текущего маршрута.
  
• Destination: Port # Comp= - Дополнительные опции конфигурирования порта места назначения.
  
• Source: IP Addr= - IP-адрес первоисточника текущего маршрута.
  
• Source: IP Mask= - Маска подсети первоисточника текущего маршрута.
  
• Source: Port#= - Порт первоисточника текущего маршрута.
  
• Source: Port # Comp= - Дополнительные опции конфигурирования порта первоисточника.
  
• Action Matched - Выбор действия в случае, если текущий фильтр сработал.
  
• Action Not Matched - Выбор действия в случае, если текущий фильтр не сработал.
  

Другие пункты меню я не беру во внимания, потому как они не используются в процессе нашей настройки.

Теперь приступим к написанию правил. Их разделим на четыре группы:

• Группа 1. Разрешение для определённого IP-адреса локальной сети некоторого диапазона IP-адресов Интернета (марнет);
  
• Группа 2. Открытие доступа для всех IP-адресов нашей локальной сети сервиса ICQ;
  
• Группа 3. Открытие полного доступа к Интернету определённому IP-адресу локальной сети;
  
• Группа 4. Блокировка всех остальных пакетов.
  

11. И так, у нас имеется диапазон IP-адресов Интернета:
Код:77.40.0.0/17
213.24.215.0/24
204.16.252.79/32
204.16.252.106/32
Доступ к этим диапазонам необходимо разрешить следующему IP-адресу нашей локальной сети:
Код:192.168.0.18/32
Для начала, включаем текущий фильтр путём изменения значения параметра Active на Yes путём установки курсора на этот пункт (клавишами курсора вверх-вниз) и изменения самого значения (нажатием кнопки пробел) как показано на рисунке 11. После чего, переставляем курсор к пункту Destination: IP Addr и вводим IP-адрес первой подсети 77.40.0.0, для подтверждения нажимаем кнопку ввода. После чего переходим к Destination: IP Mask и вводим маску выбранного диапазона 255.255.128.0, затем нажимаем ввод. Переводим курсор к пункту Source: IP Addr и вводим 192.168.0.18, подтверждаем ввод. Переходим к Source: IP Mask и вводим 255.255.255.255. Затем переходим к пункту Action Matched и, путём нажатия клавиши пробел, изменяем его значение на Forward как показано на рисунке 11. После проделанной операции, переводим курсор к самому нижнему пункту Press ENTER to Confirm or ESC to Cancel и нажимаем клавишу ввода для сохранения всех настроек.
Рисунок 11.
12. Если всё сделано в соответствии с инструкцией, система перенаправит в предыдущее меню, где должен добавиться фильтр с номером 1 как показано на рисунке 12. Теперь выбираем пункт 2, после чего нажимаем клавишу ввода.
Рисунок 12.
13. Перед нами - знакомое меню для редактирования фильтра. Наша задача - добавить диапазон IP-адресов второй подсети 213.24.215.0, с маской 255.255.255.0, к которой хотим открыть доступ. Следуя инструкции пункта 11 настоящей статьи, заполняем необходимые поля, как показано на рисунке 13. После чего подтверждаем ввод.
Рисунок 13.
14. Видим, появился новый фильтр в списке с характерным номером. Добавляем следующий путём ввода номера 3 и нажатия клавиши ввода.
Рисунок 14.
15. В соответствии с инструкцией пункта 11, представленной выше, добавляем диапазон адресов третьей подсети 204.16.252.79 с маской 255.255.255.255, как изображено на рисунке 15.
Рисунок 15.
16. Выбираем пункт 4 для добавления следующего фильтра (см. рисунок 16).
Рисунок 16.
17. Добавляем диапазон IP-адресов четвёртой подсети 204.16.252.106, с маской 255.255.255.255 как показано на рисунке 17.
Рисунок 17.
18. И так, мы закончили с конфигурированием первой группы фильтров. Теперь приступим к созданию правила для разрешения сервиса ICQ на наш IP-адрес локальной сети. Выбираем пункт 5, как показано на рисунке 18, для создания нового фильтра.
Рисунок 18.
19. В уже знакомом меню, изменяем значение параметра Active на Yes, как было описано ранее. Значения параметров Destination: IP Addr и Destination: IP Mask изменяем на 0.0.0.0. Это означает, доступ может осуществляться с любых IP-адресов интернета. Значение параметра Port# изменяем на 5190. Это порт протокола ICQ, по которому осуществляется передача данных. Также, следует изменить значение параметра Port # Comp на Equal путём нажатия кнопки пробел. Эта функция будет отвечать за то, что передача данных возможна только через указанный нами порт. Далее, переходим к пункту Action Matched и, путём нажатия клавиши пробел, изменяем его значение на Forward как показано на рисунке 11. После проделанной операции, переводим курсор к самому нижнему пункту Press ENTER to Confirm or ESC to Cancel и нажимаем клавишу ввода для сохранения введённых данных. На этом, открытие доступа к сервису ICQ определённому IP-адресу локальной сети будет закончена.
Рисунок 19.
20. Теперь добавим следующую группу фильтров - открытие полного доступа определённому IP-адресу локальной сети. Для этого, выбираем пункт 6 для создания нового фильтра, как показано на рисунке 20.
Рисунок 20.
21. Меняем значение параметра Active на Yes. Значения параметров Destination: IP Addr и Destination: IP Mask изменяем на 0.0.0.0 как показано на рисунке 21. Переходим к пункту Source: IP Addr и вводим IP-адрес, которому хотим открыть полный доступ, у нас это 192.168.0.17, подтверждаем ввод. Переходим к Source: IP Mask и вводим 255.255.255.255. Далее, устанавливаем значение Action Matched как Forward. Применяем настройки как описано ранее.
Рисунок 21.
22. Видим, под номером 6 добавлен наш текущий фильтр "полного доступа" определённому IP-адресу. Кроме того, как вы успели заметить, текущая таблица набора фильтров заполнена. Поэтому, нажимаем клавишу ESC для перехода в предыдущее меню.
Рисунок 22.
23. Перед нами - знакомое меню выбора набора фильтров. Здесь выбираем набор с номером 7, как отмечено красным маркером на рисунке 23, вводим комментарий текущего набора - fset_2, после чего переходим к последнему пункту, отмеченным фиолетовым маркером и нажимаем клавишу ввода.
Рисунок 23.
24. Видим содержимое нового набора фильтров. Наша задача - добавить фильтр, блокирующий все пакеты, которые не удовлетворяют условиям, описанным в предыдущих пунктах. Очень важной особенностью блокирующего фильтра является его местоположение, а именно, фильтр должен располагается в самом конце всех правил с целью блокировки всех пропущенных фильтрами пакетов. Поэтому, добавляем его путём ввода числа 6 и подтверждения ввода, как изображено на рисунке 24.
Рисунок 24.
25. Будьте предельно внимательны при создании данного правила. Если оно не сработает, все вышеприменённые фильтры потеряют свою актуальность! Изменяем значение параметра Active на Yes. Значения параметров Destination: IP Addr и Destination: IP Mask меняем на 0.0.0.0 как показано на рисунке 25. Значения параметров Source: IP Addr и Source: IP Mask также оставляем 0.0.0.0. После чего, значения параметров Action Matched и Action Not Matched устанавливаем Drop как показано синим маркером на рисунке 25. Затем применяем настройки.
Рисунок 25.
26. Если всё сделано в соответствии с инструкцией, у Вас появится правило, аналогичное изображённому на рисунке 26 под номером 6. Мы не случайно добавили его в самый конец текущего набора фильтров. Если вдруг понадобится создать новое правило - можем сделать это посредствам конфигурирования одного из фильтров с 1 по 5 включительно (см. рисунок 26, красный маркер). В противном случае, пришлось бы переписывать блокирующий фильтр в самый конец. Важно помнить, все созданные правила после данной системы блокировки пакетов, работать не будут.
Теперь нажмите клавишу ESC для возвращения в предыдущее меню.
Рисунок 26.
27. И так, конфигурирование фильтров завершено. Но правила будут работать только после активации соответствующих наборов фильтров в настройках модема. Видим, созданные нами наборы фильтров имеют номера 6 и 7. Для их включения, переходим в предыдущее меню, путём нажатия клавиши ESC.
Рисунок 27.
28. Перед нами основное меню модема. Нас интересует пункт Remote Node Setup, имеющий номер 11. Выбираем этот пункт, как показано на рисунке 28, и подтверждаем ввод.
Рисунок 28.
29. Перед нами список конфигураций. У нас активна конфигурация под номером 1 - MyISP (ISP, SUA). Выбираем её путём ввода цифры 1 и нажатием кнопки ввода для подтверждения выбора. См. рисунок 29. Помните, название Вашей конфигурации, может быть отлично от представленного, но суть и последовательность действий от этого не меняется.
Рисунок 29.
30. В данном меню нас интересует один единственный пункт Edit Filter Sets. По умолчанию его значение установлено как No как показано на рисунке 30.
Рисунок 30.
31. Требуется выбрать этот пункт путём перемещения курсоров вверх-вниз, после чего нажать клавишу пробел. Если всё сделано правильно, значение изменится на Yes. Теперь, не убирая курсора с этого пункта меню, нажимаем клавишу ввод.
Рисунок 31.
32. Перед нами появляется новая таблица. Сюда необходимо добавить номера наших наборов фильтров. Сделать это нужно строго в пункт protocol filters раздел Output Filter Sets как показано на рисунке 32. Перемещение по пунктам осуществляется клавишами курсора вверх-вниз. После выбора необходимого пункта, вводим с клавиатуры:
Код:6, 7
Как помним, это номера наших наборов фильтров, сконфигурированных ранее. После ввода номеров, необходимо нажать кнопку ввода для подтверждения. Затем, перемещаем курсор на самый нижний пункт Press ENTER here to CONFIRM or ESC to CANCEL и снова нажимаем кнопку ввода как показано на рисунке 32 фиолетовым маркером. Эти действия обязательны для сохранения настроек!
Рисунок 32.
33. Система возвращает нас в предыдущее меню. Снова перемещаем курсор на пункт Press ENTER to Confirm or ESC to Cancel и нажимаем клавишу ввода. Если этого не сделать, введённые нами номера активных наборов фильтров не сохранятся!
Рисунок 33.
34. Перед нами окно выбора конфигурации. Здесь нажимаем кнопку ESC для возвращения в предыдущее меню.
Рисунок 34.
35. Система возвращает нас в главное меню настройки модема. Конфигурирование на этом завершено. Вводим число 99 и подтверждаем выбор, как изображено на рисунке 35.
Рисунок 35.
36. На этом наша настройка завершена.
Рисунок 36.
37. В заключении, подведём итоги проделанной работы.
IP-адресу 192.168.0.18 разрешён доступ только к указанному диапазону IP-адресов Интернета (фильтры 6.1 - 6.4), кроме того, доступны все пакеты с порта TCP:5190, что позволяет работать сервису ICQ (фильтр 6.5). Помимо этого, IP-адресу 192.168.0.17 разрешён полный доступ к сети Интернет (фильтр 6.6). После чего, все пакеты, не удовлетворяющие данным условиям, блокируются (фильтр 7.6).