]]>
Очень интересная и ценная настройка работы сети. Используется для разделения домашней сети находящейся за ADSL модемом на два типа. 1й - скрытый, недоступный из внешней сети. 2й - публичный, не требующий проброса портов и настройки правил. Если рассмотреть этот вопрос подробней, то очень часто случаются ситуации, когда 1 компьютер в сети используется как WEB server, почтовый сервер, сервер для хранения информации, игровой сервер, игровой клиент с множеством открытых портов. Как правило настраивать доступ к нему достаточно сложно. Нужно прописать множество правил. Поэтому появилась DMZ. Создание DMZ позволит скрыть рабочую сеть как бы в тени, а публичые сервера сделать доступными. Все запросы направленные на порты модема будут сразу отсылаться на IP адрес который прописан в настройке DMZ, при этом компьютеры сети будут работать как и прежде.
Прежде чем настраивать DMZ нужно помнить два правила:
1 - настройки проброса портов нужно отключить
2 - компьютер установленный в DMZ нужно дополнительно защищать программными или аппаратными firewall.
Что бы включить DMZ в модеме, необходимо установить настройку DMZ host в состоянии Enable.
После этого пропишите адрес открываемого сервера в DMZHostIP Address и нажмите Apply Changes. Не забудьте сделать сохранение всех настроек модема.
Статистика: Добавлено dima — Сб дек 18, 2010 9:49 am
]]>
В ряде случаев, когда совершается атака, например, или резко возрастает исходящий трафик, который приводит к большой нагрузке на процессор модема, необходимо ограничить максимальное число открытых сессий. Для этого используется настройка "Ограничение числа сессий".
Здесь Вы можете задать ограничение глобально (в разделе Global TCP connection limit и прописать ещё персональные ограничения для каждого компьютера подключенного к сети. Для этого введите IP адрес и количество сессий в разделе "Ограничение сессий для конкретного IP адреса", после чего добавляйте правила кнопкой ADD.
NAT IP forwarding
В данной вкладке Вы можете назначить маршрут для трафика на конкретную машину без участия NAT Firewall. Включите эту опцию установив галочку рядом с Enable NAT IP forwarding и укажите адреса необходимые для создания канала. После этого примените настройки нажав "Apply changes"
Статистика: Добавлено dima — Пт дек 17, 2010 8:08 pm
]]>
В разделе Port Forwarding находятся настройки, которые очень часто востребованы при настройке модема в режиме маршрутизатора. Дело в том, что в этом режиме включается NAT который маскирует компьютеры подключенные к модему, а многие программы (bittorrent, voip, игры) очень часто требуют наличия прямого порта для работы. Например, для торрентов отсутствие настройки порта может вызывать серьезные проблемы в работе - клиент не сможет отдавать и принимать информацию. Очень часто такая настройка востребована, когда требуется подключить веб или фтп сервер находящиеся в сети ADSL модема. К примеру, Вы настроили веб сервер и раздали всем своим друзьям его адрес. У вас в сети три домашних компьютера. Ваши друзья набрали адрес и попали только в модем, но поскольку он не знает на какой машине открыт порт для сервера, дальше они никуда не пройдут.
Переброс портов настраивается с глобального разрешения или запрещения этого режима. По умолчанию он отключен. Поэтому перед настройкой выберите Enable и нажмите Apply Changes (применить настройки).
Следующий этап - настройка конкретных портов.
Сначала вы должны выбрать протокол (Both - оба, UDP, TCP). Для торрентов выбирайте оба. После этого указать адрес машины, на которой стоит приложение требующее проброса портов. Т.е. если торрент клиент находится на машине с адресом 192.168.1.5, то вписать вы должны именно этот адрес в поле Local IP address. Следующий шаг - указание диапазона портов. Если Вам требуется пробросить только один порт, укажите его дважды. Если диапазон, то укажите начиная с наименьшего, например, 80-83
Далее Вы можете задать удаленный (внешний) IP адрес и порт, с которым будет связан порт на локальной машине. Для торрентов это поле заполнять не обязательно. Последнее, что необходимо указать интерфейс (если это требуется) к которому будет применено правило. По умолчанию ставьте any. И нажимайте кнопку ADD (добавить). Ваше правило появиться в таблице правил.
Статистика: Добавлено dima — Вс дек 12, 2010 8:12 pm
]]>
Каждое сетевое устройство обязано иметь уникальный идентификатор - MAC адрес. Поэтому Вы можете создать правила разрешающие или запрещающие доступ определенному сетевому устройству (сетевой плате в компьютере, ноутбуке). Очень удобно этим пользоваться при настройке WiFi устройств когда имеются проблемы с шифрованием. Правда надо учитывать, что злоумышленники могут на некоторых устройствах прописывать любые адреса и как следствие "маскироваться" под разрешенное устройство. Поэтому не следует считать эту настройку панацеей от взлома. Всегда лучше использовать комплексные меры.
Настройка идентична предыдущему режиму. Сначала Вы должны выбрать действие для всех MAC адресов. Т.е. либо их всех запретить, либо разрешить.
После этого Вы должны уже прописать для каждого MAC адреса персонально, при этом не забывая указывать направление. Вновь созданные правила будут помещаться в таблицу - Current Filter Table, откуда Вы их сможете затем удалить , если это потребуется.
Статистика: Добавлено dima — Вс дек 12, 2010 7:46 pm
]]>
Вторая важная настройка, касается работы по запрещению\разрешению движения трафика между внешними и внутренними интерфейсами модема.
Изначально Вам предлагается выбрать режим работы модема глобально. Т.е. определить политику фильтрации. Либо вы все запрещаете и разрешаете только то, что вы хотите пропустить. Либо Вы разрешаете все и запрещаете только нежелательный трафик. Сделать это можно в секции Default Action. Сначала вы должны указать глобальные правила.
Далее Вы должны создать правила для конкретных портов и адресов. Причем, для каждогого направления (outgoing - исходящее, incoming - входящее). Т.е. вы должны задать направление, выбрать протокол который будет обслуживаться правилом, указать порт и действие (Deny - запретить, Allow - разрешить).
При настройке PortForwarding (проброса портов), нужно обязательно прописать все необходимые порты в этой вкладке. Иначе проброс работать не будет.
После того как Вы написали ваше правило, нажмите кнопку ADD - и оно появится в списке правил. Удалить его оттуда можно либо установив галочку рядом с ним и нажав Delete Selected (удалить выбранные), либо удалить со всеми правилами - нажав Delete ALL.
Подробную информацию о настройке Port Forwarding и IP Filters для торрент клиентов вы сможете прочитать в примерах настройки (они будут изложены в конце руководства).
Статистика: Добавлено dima — Вс дек 12, 2010 7:31 pm
]]>
Поддержка множественных соединений по слецифичным протоколам через NAT. Т.е., к примеру, когда SIP (голосовой телефонией) пользуются несколько клиентов подключенных к модему, а модем работает в режиме маршрутизатора. В этом случае этот сервис поможет подключаться к сервисам без проблем и преодалевать NAT. Если Вы не используете ни один из этих сервисов - можете выключить ALG для каждого их них, это значительно снизит нагрузку на CPU.
Статистика: Добавлено dima — Чт дек 09, 2010 9:35 pm
]]>
Firewall (защитник)- инструмент прочно вошедший в нашу жизнь в последние годы. Это тот единственный верный защитник, который позволяет блокировать сетевые атаки, сохранить конфиденциальную информацию, избежать нелегального проникновения в вашу домашнюю сеть.
В основном у Firewall’a две основных настройки – deny (запрет), allow (разрешение). Оперируя этими инструментами по отношению к разным параметрам, можно достаточно тонко настроить работу модема. При создании той или иной настройки, Вы создаете правило. Правило которое будет применяться ко всему трафику проходящему через модем.
Однако, при всех своих достаточно широких возможностях, более серьезную защиту может обеспечить программный firewall, устанавливаемый на компьютерах. Связано это с тем, что более серьезные угрозы поражают обычные приложения и маскируясь под них отправляют информацию злоумышленникам. Поэтому всегда отдавайте отчет в том, что настройка firewall'a в модеме, это лишь шаг к обеспечению Вашей безопасности.
Настройка «Защитника» выполняется на нескольких вкладках. Каждая из них отвечает за те или иные правила.
Статистика: Добавлено dima — Сб дек 04, 2010 1:20 pm
]]>
Настройка динамической привязки вашего модема к имени хоста. Большинство провайдеров предоставляют только динамический IP адрес. Это значит что через определенный интервал времени, Ваш ADSL модем получает каждый раз новый адрес. Если Вы используете web сервер, то клиенты, которые обращаются к нему, должны постоянно знать ваш текущий IP адрес. Т.е. по сути, после каждой смены Вы обязаны отсылать ваш новый IP адрес всем, кому хотите обеспечить доступ к вашей сети. Что бы исправить такое положение дел, некоторые сервсы предлагают динамическую адресацию. Вам достаточно лишь зарегестрироваться на таком сайте и прописать настройки в вашем модеме. После этого , Ваш модем будет постоянно сообщать сайту ваши текущие координаты сети, а сайт для всех остальных будет выдавать постоянный читаемый адрес.
Наиболее популярный ресурс - dyndns.org. Зарегестрируйтесь на нем и подключите сервис в настройках модема:
Enable (включить сервис) - установка этой галочки позволяет использовать возможности динамической переадресации.
DDNS провайдер - выбор поставщика услуги (там где вы зарегестрировались)
hostname - имя вашего хоста, который будет содержаться в статическом адресе
username/password - параметры для авторизации на сайте dyndns
TZO e-mail - почтовый адрес регистрации на сервисе TZO
key - ключ авторизации на сервисе TZO
Кнопки ADD/Modify/Remove - предназначены для управления учетными записями. Вы можете создать одну и более учетных записей для сервисов dyndns.
Dynamic DDNS table - список текущих подключений.
Статистика: Добавлено dima — Сб дек 04, 2010 11:29 am
]]>
DNS - это система доменных имен. Она позволяет переводить имя хоста в его адрес и перенаправлять вас на нужный сервер. Т.е. если вы вводите в строке вашего браузера yandex.ru, то с помощью DNS серверов удается во-первых получить его адрес, а во-вторых проследовать по этому адресу на нужный сервер. Конечно это очень утрировано, но в основном используется именно эта возможность DNS. Система DNS серверов достаточно сложна. Иногда случается так, что после обновления таблиц DNS у провайдера или смене хостера информация о нахождении сервера является не верной. В этом случае клиенты работающие с этим DNS сервером получают не верный ответ и не могут попасть на сервер (к примеру вы вводите адрес, а попасть на него не можете).
В этой части настроек, Вам предлагается два вида связи с системой DNS
1. Attain DNS Automatically - получать информацию о адресах DNS серверов автоматически (как правило в этом случае будут использоваться DNS серверы провайдера)
2. Set DNS Manually - вы можете назначить адреса DNS серверов вручную. Это бывает полезно, когда сервер провайдера содержит устаревшие данные. В этом случае можно ввести адреса DNS публичных серверов.
Статистика: Добавлено dima — Сб дек 04, 2010 10:27 am
]]>
5.1 DHCP Settings (настройка режима работы DHCP сервера)
DHCP (Dynamic Host Configuration Protocol) - одна из важных настроек сети. Она определяет, как будут раздаваться IP адреса внутри клиентов подключенных к ADSL модему.
По умолчанию (сразу после покупки модема), DHCP по умолчанию включен и все клиенты получают адреса из пула 192.168.1.2-192.168.1.254. Это наиболее простой вариант, который удовлетворяет более 90% домохозяйств. Однако в ряде случаев Вы можете изменить параметры и настроить режим выдачи адресов более гибко.
Рассмотрим основные настройки DHCP
1. DHCP Mode
Режим работы DHCP:
-disable - выдача адресов средствами модема не осуществляется
-dhcp relay - "перевозчик DHCP пакетов" режим дублирования dhcp запросов из одной сети в другую. Позволяет транслировать DHCP пакеты из сети с отключенным DHCP в сеть, где есть сервера DHCP.
- DHCP server - модем выступает в качестве DHCP сервера и раздает адреса сам (режим по умолчанию).
2. LAN IP ADDRESS - адрес сервера в сети.
3. Маска сети сервера
4. IP pool range - диапазон IP адресов которые могут быть выделены клиентам, подключенным к DHCP серверу.
5. Subnet mask - маска подсети для клиентов
6. Max Lease Time - время выдачи лицензии на IP адрес. После того, как клиент подключается к серверу, ему выдается IP адрес и лицензия на пользование им. Пока время указанное в этом параметре не истекло, IP адрес жестко резервируется за конкретным клиентом.
7.Domain name - имя домена сети.
8. Gateway address - адрес шлюза сети.
9. DNS option - режим работы с DNS. Вы можете выбрать ретранслятор запросов с DNS сервера, либо ввести адреса серверов DNS вручную (set manually)
10. Apply Changes/Mac-Base Assigment - кнопки сохранения настроек и назначения IP адресов клиентам с определеными MAC адресами. Т.е. если вы хотите присвоить определенному клиенту подключенному к модему определенный IP адрес, то вам необходимо знать MAC адрес клиента. После этого нажмите кнопку Mac-Base Assigment, введите MAC адрес и IP (незанятый), который вы хотите присвоить этому клиенту. После чего сохраните настройки.
11. Информация о подключенных клиентах. В этой таблице Вы сможете увидеть какие клиенты сейчас подключены, а какие были отключены по истечению времени лицензии. Следует учитывать, что информация появляется не сразу , а спустя некоторое время.
12. Refresh - кнопка обновления экрана с информацией.
Статистика: Добавлено dima — Сб дек 04, 2010 10:02 am
]]>
Это окно настройки дополняет раздел Security Setup. Вы можете подключить любую дополнительную виртуальную точку доступа, установив галочку рядом с интерфейсом VAPx, задав имя и тип системы. После чего необходимо перейти в Security Setup и проверить настройки безопасности. Таким образом возможно поднять несколько беспроводных интерфейсов на одной точке.
Статистика: Добавлено dima — Сб дек 04, 2010 8:56 am
]]>
В этом разделе настраиваются параметры WPS – упрощенной системы доступа к защищенной WiFi сети.
1.Disable WPS – запретить режим WPS. Если установить галочку рядом с этим параметром, то доступ в сеть по WPS будет запрещен.
2.WPS status – статус текущего состояния. Configured – сконфигурировано, UnConfigured – не сконфигурировано.
3.Self-PIN Number – собственный пин код устройства. Вы можете сменить код, для этого нажмите – Regenerate PIN. После этого надо обязательно применить новые настройки (Apply changes).
4. Push button configuration – Автоматический режим настройки WPS сети в режиме регистратора.
5. Кнопка применения текущих настроек.
6. Состояние текущих подключений к сети.
7. Client PIN Number. В этом поле Вы можете ввести пин код клиента вручную, если клиент хочет подключиться к сконфигурированной сети.
8.Кнока подключения клиента с указанным ранее номером в п.7
Статистика: Добавлено dima — Пт дек 03, 2010 10:03 pm
]]>
1.Wireless Access Control ModeРежим доступа. Вы можете выбрать три режима: disabled – ограничение доступа по MAC адресу выключено, Allow Listed – доступ только для тех клиентов, чьи MAC адресы будут внесены в список разрешенных, Deny Listed – черный список MAC адресов. Все указанные MAC адреса будут блокированы и клиенты их имеющие не смогут подключиться к вашей точке доступа.
2.MAC Address
В этом поле Вам необходимо последовательно вводить все MAC адреса, которые вы хотите занести в список. Адреса необходимо вводить сплошным числом без двоеточий или тире.
3.ADD
После того, как Вы ввели адрес в п.2, нажмите эту кнопку (добавить) и очередной MAC адрес будет добавлен в список.
4.Список занесенных MAC адресов
5.Delete Selected /Delete ALL – кнопки удаления адресов. Delete Selected удаляет только отменные MAC адреса, а кнопка Delete ALL – удаляет все адреса из списка.
Статистика: Добавлено dima — Пт дек 03, 2010 8:31 pm
]]>
Рассмотрим настройки безопасности подробнее:
1.SSID Type
Тип точки доступа Root – основная, VAPx – виртуальные. Для каждой виртуальной должна быть выполнена своя настройка.
2.Encryption
Метод шифрования. Поддерживаются следующие методы: Open, Wep, WPA (AES), WPA2(AES), WPA2 (Mixed). Наиболее современным считается WPA шифрование, которое более устойчиво. В случае если Вы решите использовать WEP шифрование – нажмите кнопку Set Wep Key и задайте все необходимые ключи, которые Вы затем должны прописать на устройствах, подключаемых к точке доступа.
3.Use 802.1x Authentication
Установка режима авторизации через RADIUS сервер для WEP шифрования. В случае, если Вы выберите этот пункт, Вы будете должны установить режим шифрования 64 или 128 бит и настроить авторизацию на клиенте так же через этот сервер.
4.Настройка авторизации для WPA шифрования . Как и в предыдущем пункте у вас есть выбор, либо использовать RADIUS сервер, либо Pre-shared ключ (по умолчанию)
5.В этом пункте Вы должны указать формат ключа. Это может быть секретная фраза – Passphrase или набор цифр в шестнадцатеричном формате.
6.После того как вы выбрали формат ключа, введите ваш секретный код в этом поле.
7.Если Вы решили использовать авторизацию через RADIUS сервер – в этом поле Вы должны указать IP адрес RADIUS сервера, порт и пароль доступа.
8.Кнопка сохранения настроек.
Статистика: Добавлено dima — Пт дек 03, 2010 8:03 pm
]]>