Використання та налаштування фільтра tcp / ip-пакетів в пристроях zyxel.

Припустимо, що потрібно дозволити доступ в глобальну мережу тільки робочим станціям з IP-адресами 192.168.1.10.0 - 192.168.10.63.

Розгляньмо приклад зі входять пакетом. Припустимо, що ми включили це правило фільтрації в фільтр входять даних в Меню 3.1.

Для вхідної IP-адреси використовується маска 255.255.255.192. В цьому випадку результат маскування порівнюється з IP-адресою джерела на предмет їх ідентичності. При цьому може мати місце «Відповідність» або «Невідповідність».

Відео: Основи мереж передачі даних. Модель OSI і стек протоколів TCP IP. Основи Ethernet. [GeekBrains]

Припустимо, пакет з IP-адресою джерела 192.168.10.65 входить в модем, маскується з маскою 255.255.255.192, результат - 192.168.10.64, яка не дорівнює 192.168.10.0.

Отже, ми маємо випадок невідповідності, тому пакет скидається модемом відповідно до правила фільтрації, певним нами раніше. Інший приклад - пакет з IP-адресою джерела 192.168.10.2 входить в модем, маскується з маскою 255.255.255.192, результат - 192.168.10.0, який ідентичний IP-адресою джерела. Це випадок відповідності. 

У заголовку IP існує поле Протокол (IP Protocol), яке визначає протокол верхнього рівня, інкапсулює в IP-пакет.

Напр., Якщо протоколом верхнього рівня є протокол управління повідомленнями Інтернет (Internet Control Message Protocol - ICMP), значення цього поля - 1.

Відео: Пакети QoS - настройка пропускної здатності мережі

Існують також поля IP-адреса джерела (Source IP Addr) і IP-адреса призначення (Destination IP Addr), в яких вказується відповідно IP-адреса джерела та IP-адреса призначення пакети.

Модем переглядає ці поля і вирішує, блокувати або переслати пакети, в залежності від того, який набір правил фільтрації налаштований в Меню 21.

У заголовку TCP перші два байта займає Порт джерела, а наступні два байти - Порт призначення, які визначають послугу верхнього рівня.

Модем переглядає ці поля і вирішує, блокувати або дозволити конкретну послугу або варіант використання.

Напр., Для послуги передачі файлів через FTP призначені порти 20 і 21, а для послуги Web - порт призначення 80.

Щоб визначити, чи належить IP-адреса до діапазону, встановленого в правилі фільтрації, маршрутизатор розглядає IP-адреса не як десяткове число, а як двійкове число 11000000.10101000.00001010.00000010.

Адреса маски підмережі - 255.255.255.192. Маршрутизатор сприймає це число як 11111111.11111111.11111111.11 000000. Маска підмережі вказує на те, що маршрутизатор запозичив шість біт для створення підмереж. Маршрутизатор бере ці два фрагменти інформації, IP-адреса джерела, що передається з даними, і маску підмережі, і примножує їх біт за бітом за допомогою логічного «І».

При логічному множенні довічного розряду на 1 значення двійкового розряду не змінюється. При логічному множенні на 0 значення двійкового розряду завжди дорівнює стає рівним нулю. Тому, коли маршрутизатор виконує операцію множення за допомогою логічного «І», частина IP-адреси, що відноситься до хост-машині, обнуляється.

Відео: Стиль челендж зі сміттєвих пакетів СМЕШНО ДО сліз

Маршрутизатор розглядає тільки ліву частину IP-адреси, що представляє собою номер мережі, включаючи сіть. В даному прикладі при множенні 192.168.10.2 на 255.255.255.192 за допомогою логічного «І» виходить 192.168.10.0, що є адресою даної підмережі. У той же час, при множенні 192.168.10.65 на 255.255.255.192 за допомогою логічного «І» виходить 192.168.10.64, що є адресою іншої підмережі.

Якщо Ви хочете працювати з іншим діапазоном IP-адрес, напр. 192.168.10.64 - 127, слід встановити IP-адресу джерела

192.168.10.64.

Якщо Ви хочете працювати з конкретним IP-адресою, слід встановити цей IP-адреса безпосередньо з маскою підмережі 255.255.255.255.

Після настройки правил фільтрації вкажіть номер фільтра в Меню 3.1 - Фільтр вхідних пакетів для його продажу.