Указание IP-адресов по правилам брандмауэра
Можно ограничить соединения с устройствами с указанными IP-адресами или заблокировать устройства с указанными IP-адресами, разрешив другие способы связи. Можно указать один IP-адрес или целый диапазон IP-адресов.
Для протоколов IPv4 и IPv6 можно указать до 16 IP-адресов (или диапазонов IP-адресов).
Пакетные фильтры аппарата, описанные в этом разделе, контролируют подключения к портам TCP, UDP и ICMP.
Запустите Удаленный ИП и войдите в систему в режиме администратора системы. Запуск Удаленного ИП
Щелкните [Настройки/Регистрация].
Щелкните [Настройки защиты] [Фильтр IP-адресов].
Щелкните [Изменить] для типа фильтра, который необходимо использовать.
[IPv4-адрес: Фильтр для исходящих]
Используется для ограничения отправки данных с аппарата на компьютер с помощью указания адреса IPv4.
[IPv4-адрес: Фильтр для входящих]
Используется для ограничения приема данных аппарата компьютером с помощью указания адреса IPv4.
[IPv6-адрес: Фильтр для исходящих]
Используется для ограничения отправки данных с аппарата на компьютер с помощью указания адреса IPv6.
[IPv6-адрес: Фильтр для входящих]
Используется для ограничения приема данных аппарата компьютером с помощью указания адреса IPv6.
Настройка параметров фильтрования пакетов.
Выберите политику по умолчанию, чтобы разрешить или запретить взаимодействие аппарата с другими устройствами, а затем укажите IP-адреса, чтобы добавить исключения.
Установите флажок [Использовать фильтр] и щелкните командную кнопку [Отказать] или [Разрешить], чтобы выбрать [Политика по умолчанию].
[ Использовать фильтр ]
Установите этот флажок, чтобы ограничить взаимодействие. Снимите флажок, чтобы отменить запрет.
[ Политика по умолчанию ]
Выберите предварительное условие, чтобы разрешить или запретить взаимодействие аппарата с другими устройствами.
Выберите для передачи и приема пакетов только для устройств, IP-адреса которых указаны в [Адреса исключений]. Связь с другими устройствами не разрешается.
Выберите для блокировки передачи и приема пакетов для устройств, IP-адреса которых указаны в [Адреса исключений]. Связь с другими устройствами разрешается.
Укажите адреса-исключения.
Введите IP-адрес (или диапазон IP-адресов) в поле [Адрес для регистрации] и щелкните [Добавить].
Проверка на наличие ошибок ввода
При неправильном вводе IP-адресов доступ к аппарату из Удаленного ИП может быть невозможен. В этом случае необходимо установить для <Фильтр IPv4-адресов>или <Фильтр IPv6-адресов>значение .
Фильтр IPv4-адресов
Фильтр IPv6-адресов
Как указать диапазон IP-адресов для реселлера?
В Ministra TV Platform версии 5.6 появилась возможность проверять, входит ли IP-адрес пользователя в диапазон, заданный для его реселлера.
Для добавления возможности задавать диапазон IP-адресов, необходимо в файл custom.ini внести следующий параметр:
allow_resellers_ip_ranges = true
Укажите время, на протяжении которого сервис будет доступен пользователю с некорректным IP, по умолчанию — 300 секунд:
user_wrong_ip_timeout = 300
Если IP-адрес пользователя не соответствует указанному в административной панели, то по истечению установленного времени пользователю будет отказано в доступе к сервису.
Для того, чтобы установить диапазон IP-адресов для реселлера:
1. Откройте вкладку Администраторы.
2. Выберите Реселлеры.
3. Нажмите кнопку Добавить реселлера.
4. Заполните необходимые поля.
Поле IP-адреса позволяет добавить несколько отдельных IP-адресов и диапазонов вида 111.222.0.0/16 или 111.222.0.0-111.222.1.255. Если IP-адрес пользователя соответствует указанному адресу или входит в диапазон IP-адресов, то пользователь сможет авторизоваться в портал Ministra TV platform. В обратном случае, на пользовательское устройство будет отправлено сообщение «В этой сети невозможно подключиться к сервису».
Обратите внимание! После включения параметра
поле IP-адреса будет доступно по умолчанию. Для отключения возможности добавлять IP-адреса, снимите галочку с флаговой кнопки Ограничить диапазон IP-адресов пользователей.
Если для пользователя не был указан реселлер, авторизация пройдет успешно вне зависимости от IP, с которого подключается пользователь.
Связанные статьи:
- Как создать группу администраторов?
- Как настроить права для группы администраторов?
- Работа с функционалом реселлеров.
Синди – эксперт по работе с Ministra TV platform и автор этой статьи.
Была ли полезна эта статья?
Сожалеем.
Как можно улучшить эту статью?
Разрешение или ограничение диапазона IP-адресов
Указание диапазона IP-адресов позволяет ограничить несанкционированное подключение к серверу Fiery Server .
Можно указать диапазон IP-адресов, с которых будет разрешен доступ, а также заблокировать доступ с определенных IP-адресов. Можно настроить несколько отдельных диапазонов адресов, в пределах которых доступ разрешен или заблокирован. Сервер Fiery Server будет игнорировать команды и задания, отправленные с несанкционированных IP-адресов.
Важное замечание: Существует две версии Configure, каждая из которых соответствует тому серверу Fiery Server , к которому установлено подключение. Это составная процедура, в которой описываются действия, выполняемые при подключении к серверу Fiery Server с FS100/100Pro или более ранней версии, а также приведены примечания о действиях, которые следует предпринять при работе с FS150/150 Pro или более поздней версии. Если вы не знаете, какую версию Configure вы используете, см. раздел Какая версия Configure используется?.
- В Configure выберите Сеть > Протокол > TCP/IP > Безопасность .
Важно: Если установлено подключение к серверу Fiery Server с FS150/150Pro, то для получения доступа к настройкам, которые описаны в этой процедуре, выберите Безопасность > Фильтрация IP-адресов .
Важно: Если установлено подключение к серверу Fiery Server с FS150/150Pro, установите флажки Фильтрация адресов IPv4 и Фильтрация адресов IPv6 .
Важно: Список Политика фильтрации по умолчанию поможет добавить несколько диапазонов один за другим. При определении диапазона можно Принять или Запретить его, независимо от настройки, заданной по умолчанию. Настройки в списке Политика фильтрации по умолчанию не применяются к уже добавленным диапазонам.
Важно: Если установлено подключение к серверу Fiery Server с FS150/150Pro, нажмите Добавить фильтрацию адресов IPv4 или Добавить фильтрацию адресов IPv6 .
Важное замечание: Если задать диапазон IP-адресов для блокировки, но не задать диапазон, доступ с которого будет принят, весь сетевой обмен данными с сервером Fiery Server будет отключен.
Как указать диапазон ip адресов
Диапазоны IP-адресов позволяют разделять управляющий и пользовательский трафик для внутреннего управления (англ. in-band management) сетью SD-WAN, повышения ее производительности а также обеспечения безопасности, мониторинга, настройки и технической поддержки сетевых устройств. Например, если управляющий трафик отделен от пользовательского, администраторы могут удаленно подключаться к сетевым устройствам для установки обновлений, исправления проблем и внесения изменений в конфигурацию. Наличие отдельного диапазона IP-адресов также позволяет использовать более детализированные политики безопасности, такие как списки управления доступом и правила брандмауэра, для защиты управляющего трафика и критически важных компонентов сети SD-WAN.
Вам нужно создать как минимум один диапазон IP-адресов для каждого центра обработки данных, используемого в вашей организации.
Чтобы создать диапазон IP-адресов:
- На странице управления инфраструктурой решения нажмите на кнопку + Подсеть .
- В открывшемся окне настройте параметры подсети, выполнив следующие действия:
- В раскрывающихся списках Домен и ЦОД выберите домен и ЦОД, для которого требуется создать диапазон IP-адресов.
- В поле Имя введите имя диапазона IP-адресов.
- В раскрывающемся списке Версия IP выберите версию IP-адресов в диапазоне:
- IPv4 – это значение выбрано по умолчанию.
- IPv6 .
- В поле CIDR введите IP-адрес сети, для которой вы создаете диапазон IP-адресов, а также маску подсети. Использование CIDR-нотации позволяет указать размер сети, в рамках которой осуществляется назначение IP-адресов из диапазона. Формат значения: /, например 192.168.2.0/24.
- В поле Шлюз введите IP-адрес шлюза по умолчанию для сетевых устройств, которым назначаются IP-адреса из диапазона. Шлюз по умолчанию в сети SD-WAN обеспечивает коммуникацию между устройствами из локальной и внешних сетей.
- В блоке Диапазон IP создайте диапазон IP-адресов, нажав на кнопку + Добавить и указав требуемые значения в отобразившихся полях. Вы можете создать несколько диапазонов.
- В блоке DNS добавьте DNS-сервер, нажав на кнопку + Добавить и указав IP-адрес в отобразившемся поле. Компоненты решения получают IP-адрес DNS-сервера вместе с IP-адресами из диапазона. Вы можете добавить несколько серверов. Наличие DNS-серверов позволяет сетевым устройствам преобразовывать доменные имена в IP-адреса и таким образом поддерживать зависящие от DNS приложения, такие как веб-браузеры и электронная почта.
- В блоке Статические маршруты создайте статический маршрут, нажав на кнопку + Добавить и указав статический маршрут в отобразившемся поле. Компоненты решения получают статический маршрут вместе с IP-адресами из диапазона. Вы можете создать несколько маршрутов. Наличие статических маршрутов позволяет управлять маршрутизацией трафика между сегментами сети или подсетями для выполнения требуемых задач, таких как оптимизация процесса передачи трафика, обеспечение маршрутизации определенного вида трафика по указанному назначению, а также установка соединения между двумя удаленным площадками.
- Нажмите на кнопку Сохранить .
Диапазон IP-адресов отобразится на вкладке IPAM . Вы можете выполнить одно из следующих действий с диапазоном IP-адресов, нажав на кнопку Управление рядом с ним и выбрав соответствующее значение в раскрывающемся списке:
- Изменить параметры диапазона IP-адресов, выбрав Изменить .
- Удалить диапазон IP-адресов, выбрав Удалить .