Використання та налаштування фільтра tcp / ip-пакетів в пристроях zyxel.
Припустимо, що потрібно дозволити доступ в глобальну мережу тільки робочим станціям з IP-адресами 192.168.1.10.0 - 192.168.10.63.
Розгляньмо приклад зі входять пакетом. Припустимо, що ми включили це правило фільтрації в фільтр входять даних в Меню 3.1.
Для вхідної IP-адреси використовується маска 255.255.255.192. В цьому випадку результат маскування порівнюється з IP-адресою джерела на предмет їх ідентичності. При цьому може мати місце «Відповідність» або «Невідповідність».
Відео: Основи мереж передачі даних. Модель OSI і стек протоколів TCP IP. Основи Ethernet. [GeekBrains]
Припустимо, пакет з IP-адресою джерела 192.168.10.65 входить в модем, маскується з маскою 255.255.255.192, результат - 192.168.10.64, яка не дорівнює 192.168.10.0.
Отже, ми маємо випадок невідповідності, тому пакет скидається модемом відповідно до правила фільтрації, певним нами раніше. Інший приклад - пакет з IP-адресою джерела 192.168.10.2 входить в модем, маскується з маскою 255.255.255.192, результат - 192.168.10.0, який ідентичний IP-адресою джерела. Це випадок відповідності.
У заголовку IP існує поле Протокол (IP Protocol), яке визначає протокол верхнього рівня, інкапсулює в IP-пакет.
Напр., Якщо протоколом верхнього рівня є протокол управління повідомленнями Інтернет (Internet Control Message Protocol - ICMP), значення цього поля - 1.
Відео: Пакети QoS - настройка пропускної здатності мережі
Існують також поля IP-адреса джерела (Source IP Addr) і IP-адреса призначення (Destination IP Addr), в яких вказується відповідно IP-адреса джерела та IP-адреса призначення пакети.
Модем переглядає ці поля і вирішує, блокувати або переслати пакети, в залежності від того, який набір правил фільтрації налаштований в Меню 21.
У заголовку TCP перші два байта займає Порт джерела, а наступні два байти - Порт призначення, які визначають послугу верхнього рівня.
Модем переглядає ці поля і вирішує, блокувати або дозволити конкретну послугу або варіант використання.
Напр., Для послуги передачі файлів через FTP призначені порти 20 і 21, а для послуги Web - порт призначення 80.
Щоб визначити, чи належить IP-адреса до діапазону, встановленого в правилі фільтрації, маршрутизатор розглядає IP-адреса не як десяткове число, а як двійкове число 11000000.10101000.00001010.00000010.
Адреса маски підмережі - 255.255.255.192. Маршрутизатор сприймає це число як 11111111.11111111.11111111.11 000000. Маска підмережі вказує на те, що маршрутизатор запозичив шість біт для створення підмереж. Маршрутизатор бере ці два фрагменти інформації, IP-адреса джерела, що передається з даними, і маску підмережі, і примножує їх біт за бітом за допомогою логічного «І».
При логічному множенні довічного розряду на 1 значення двійкового розряду не змінюється. При логічному множенні на 0 значення двійкового розряду завжди дорівнює стає рівним нулю. Тому, коли маршрутизатор виконує операцію множення за допомогою логічного «І», частина IP-адреси, що відноситься до хост-машині, обнуляється.
Відео: Стиль челендж зі сміттєвих пакетів СМЕШНО ДО сліз
Маршрутизатор розглядає тільки ліву частину IP-адреси, що представляє собою номер мережі, включаючи сіть. В даному прикладі при множенні 192.168.10.2 на 255.255.255.192 за допомогою логічного «І» виходить 192.168.10.0, що є адресою даної підмережі. У той же час, при множенні 192.168.10.65 на 255.255.255.192 за допомогою логічного «І» виходить 192.168.10.64, що є адресою іншої підмережі.
Якщо Ви хочете працювати з іншим діапазоном IP-адрес, напр. 192.168.10.64 - 127, слід встановити IP-адресу джерела
192.168.10.64.
Якщо Ви хочете працювати з конкретним IP-адресою, слід встановити цей IP-адреса безпосередньо з маскою підмережі 255.255.255.255.
Після настройки правил фільтрації вкажіть номер фільтра в Меню 3.1 - Фільтр вхідних пакетів для його продажу.