Routery

Funkcje zdalne i bezpieczeństwo

przeczytasz w 3 min.

Choć router GO-RT-AC750 należy do klasy routerów ekonomicznych, to producent zadbał nie tylko o jego prostotę konfiguracji, ale również o bezpieczeństwo i dostęp zdalny. Nawet w przypadku niewielkich sieci domowych czasami potrzebny dostęp z zewnątrz do urządzeń w sieci LAN. Do tego celu służą m.in. mechanizmy przekierowania portów. Pozawalają one na otworzenie „furtki” dla określonego ruchu sieciowego i dostęp do danego komputera lub usługi. W D-Linku służą do tego dwie zakładki: Virtual Server oraz Port Forwarding. W przypadku Port Forwarding możemy ustawić przekierowanie 1:1, czyli przekierować port lub zestaw portów zewnętrznych np. 80 na ten sam port wewnętrzny 80. Z kolei opcja Virtual Serwer umożliwia ustawienie wiele przekierowań różnych portów zewnętrznych na ten sam port wewnętrzny do różnych urządzeń w sieci LAN. Np. możemy przekierować port 5020 prowadzący do komputera LAN o adresie IP 192.168.0.20 na port 80 oraz przekierować port 5021 prowadzący do komputera LAN o adresie IP 192.168.0.21 na port 80. Takie przekierowanie byłoby niemożliwe w przypadku Port Forwarding. Tu moglibyśmy przekierować zewnętrzny port 80 na wewnętrzny do jednego z komputerów (albo 192.168.0.20 albo 21). Zarówno w przypadku przekierowania portów, jak i Virtual Server możemy utworzyć do 24 reguł.

Co ciekawe reguły przekierowań możemy podobnie jak sieć WiFi oprzeć o harmonogramy. Dzięki temu otwarty port będzie dostępny tylko i wyłącznie w czasie określonym w regułach dostępu. Harmonogramy konfigurujemy indywidualnie w sekcji Tools – Schedules.

Bardzo często w przypadku gier sieciowych czy też komunikacji VoIP, zachodzi konieczność otworzenia zestawu portów niezbędnego do prawidłowego zestawienia połączeń. Jednak po ich zestawieniu przekierowanie nie musi być wykorzystywane. W związku z tym, że ten sam rodzaj przekierowań może być wykorzystywany przez różne komputery i usługi w siecin trudno byłoby ustawić je na stałe dla wszystkich hostów w sieci. Dlatego do tego celu należy wykorzystać port triggering, który w D-Linku został ukryty pod nazwą Application Rules. Pozwala on na otworzenie portu lub potów dostępnych dla całej sieci LAN w zależności od typu aplikacji.

Jeśli uruchomimy przekierowania portów, a także zezwolimy na dostęp z zewnątrzn to prócz harmonogramów warto jeszcze określić reguły dostępowe. Tu z pomocą przychodzi zakładka Inbound Filter. Pozwala ona na precyzyjne określenie zewnętrznych adresów IP, które będą miały dostęp do naszej sieci LAN i jej określonych usług. Możemy określić do 8 reguł dostępowych.

Uruchamiając specyficzny serwer z systemem usług zdalnych np. serwer FTP, poczty lub WWW warto ustawić go w strefie DMZ. Jej konfigurację wykonujemy w sekcji Firewall – DMZ Host. Mechanizm pozwala na ustalenie jednego adresu IP, do którego będzie nieograniczony dostęp z zewnątrz. Jeśli dysponujemy publicznym adresem IP (stałym lub zmiennym) to w sekcji Tools – Dynamic DNS możemy dodatkowo określić przyjazną nazwę domenową zamiast podawania adresu IP. Dzięki temu dostęp do sieci LAN z zewnątrz można będzie uzyskać poprzez adres DNS, np. benchmark.dyndns.org. Router pozwala na skorzystanie z dwóch usługodawców DNS: dlinkddns.com oraz dyndns.org.

W zakładce Firewall możemy dodatkowo aktywować ochronę SPI oraz mechanizm anti-spoof - pozwalający na zabezpieczanie przed atakami typu spoofing (fałszowanie źródłowego adresu IP). Jeśli nie wykorzystujemy komunikacji VoIP czy też zdalnych połączeń VPN, w sekcji ALG możemy wyłączyć także zezwolenie na ruch sieciowy dla tych usług.

Prócz wielu opcji konfiguracji zabezpieczeń dostępu z zewnątrz, D-Link zadbał także o bezpieczeństwo wewnętrzne sieci LAN. Mowa tu przede wszystkim o dość prostych (ale utrudniających życie potencjalnym osobom) mechanizmach blokad. W zakładce Network Filter możemy kontrolować dostęp przez urządzenia do sieci LAN na podstawie ich adresów MAC. Reguły pozwalają na ustawienie listy zablokowanych urządzeń lub też ustawienie „białej listy” - urządzeń dozwolonych. Elastyczność mechanizmu zwiększa system harmonogramów pozwalających na czasowe ustawienie blokad. To dość proste z pozoru rozwiązanie może być użyteczne np. w przypadku kontroli dostępu do sieci dla dzieci.

By wzmocnić mechanizm kontroli oparty o adresy MAC możemy dodatkowo ustalić filtry stron WWW, a także mechanizmy kontroli dostępu oparte o reguły dostępowe. Przede wszystkicm chodzi tu o dostęp do określonych stron internetowych, do określonych adresów IP i portów. W przypadku funkcji Website Filter możemy podać zestaw dozwolonych lub zabronionych stron internetowych. Następnie filtr połączyć z regułami dostępowymi Access Control.

Prócz ograniczeń związanych z dostępem do określonych usług możemy dodatkowo skonfigurować mechanizm QoS, który pozwoli na prorytetowanie i przydział pasma transmisji danych. GO-RT-AC750 został wzbogacony o dość prosty w konfiguracji mechanizm QoS opaty o dwa algorytmy: WFQ oraz SPQ. WFQ (Weighted Fair Queue) pozwala na ograniczenie przepustowości poprzez procentowy przydział pasma i wagi dla danego priorytetu.  Z kolei Strict Priority Queue polega na nadaniu odpowiedniego priorytetu dla danego typu transmisji oraz adresu źródłowego i docelowego wraz z typem i zakresem portów.

Administracja

W sekcji Tools zostały zgromadzone wszystkie ustawienia związane z administracją routerem. W zakładce Admin możemy skonfigurować hasło administratora (domyślnie do routera można zalogować się bez hasła). Włączając graficzną autoryzację przócz podania właściwego hasła musimy odczytać kod z obrazka. Jeśli zamierzamy administrować routerem zdalnie, możemy ustawić określony port do zarządzania, wymusić obsługę HTTPS, a także na podstawie Inbound Filter podać adres lub adresy IP, które mają dostęp do zdalnej konsoli.

Opcje związane z powiadomieniami administracyjnymi możemy ustawić w dwojaki sposób. Jednym z nich jest wysyłka logów routera do serwera Syslog. Drugim – znacznie wygodniejszym mechanizmem szczególnie dla początkujących użytkowników jest przesłanie logów na adres mail. Wystarczy dokonać konfiguracji konta dostępowego mail w zakładce Email Settings. Logi można również przeglądać lokalnie na routerze w zakładce Status – Logs oraz zapisać je na dysku komputera.

Producent nie zapomniał o takich funkcjach jak zapis konfiguracji routera do pliku, możliwość prostej aktualizacji oprogramowania rozruchowego – także z możliwością sprawdzania najnowszej wersji online. Miłym dodatkiem są statystyki sieciowe zarówno dla połączeń LAN, WAN, jak i WiFi – z rozdzieleniem na 2,4 oraz 5 GHz. Możemy także podglądać informację o podłączonych klientach LAN oraz WiFi, oraz sprawdzać i konfigurować tablicę routingu.

Witaj!

Niedługo wyłaczymy stare logowanie.
Logowanie będzie możliwe tylko przez 1Login.

Połącz konto już teraz.

Zaloguj przez 1Login