Как запретить доступ пользователям к facebook. - D-Link

Пример настройки
межсетевых экранов
D-Link NetDefend
Как запретить доступ пользователям к facebook
1
На межсетевых экранах D-Link NetDefend доступ к веб сайтам ограничивается при помощи
HTTP ALG, но HTTP ALG на межсетевых экранах DFL-210/260/800/860/1600/2500, а также на
прошивках ниже 2.60 для экранов DFL-260E/860E/1660/2560 не может анализировать https
трафик. Поэтому доступ к ресурсам, которые работают по https протоколу, не получится
запретить при помощи HTTP ALG. Доступ к таким сайтам можно запретить по IP адресам.
Некоторые ресурсы могут иметь довольно большое количество IP адресов, и соответственно,
что бы ограничить доступ к такому ресурсу необходимо ограничить доступ ко всем IP
адресам. Рассмотрим, как это сделать на примере ресурса facebook.
На сегодняшний день данный ресурс имеет в своём распоряжении следующие диапазоны IP
адресов:
31.13.24.0/21
31.13.64.0/18
65.201.208.24/29
65.204.104.128/28
66.92.180.48/28
66.93.78.176/29
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
103.4.96.0/22
173.252.64.0/18
199.201.64.0/22
204.15.20.0/22
Нам необходимо будет запретить доступ ко всем этим диапазонам. Следует учесть, что в
будущем ресурс может приобрести новые диапазоны адресов, которые тоже потребуется
добавить в данный список.
1. Заходим в Objects>Address Book и выбираем Add>Address Folder
2
2. В поле Name указываем Facebook и нажимаем OK.
3. Заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Address
4. Указываем:
Name: f1
Address: 31.13.24.0/21
и нажимаем ОК.
3
5. Опять заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Address
6. Указываем:
Name: f2
Address: 31.13.64.0/18
и нажимаем ОК.
7. Аналогичным образом добавляем все диапазоны сетей facebook
8. Заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Group
4
9. В поле Name пишем facebook, а в поле Group members переносим все facebook сети в
колонку Selected и нажимаем ОК.
10. Заходим в Rules>IP Rules>lan1_to_wan1 и нажимаем Add>IP Rule
11. Указываем:
Name: facebook
Action: Drop
Service: all_services
Source Interface: lan1
Source Network: lan1net
Destination Interface: wan1
Destination Network: facebook
и нажимаем ОК.
5
12. Заходим в Rules>IP Rules>lan1_to_wan1, щёлкаем правой кнопкой мышки на правиле
"facebook" и выбираем Move to Index
13. В появившемся окне указываем 2 и нажимаем ОК.
Таким образом мы запретили всем пользователям сети доступ к facebook. Если каким-то
пользователям необходимо разрешить доступ к facebook, то для них можно создать
разрешающее правило. Для этого сначала необходимо создать объекты для адресов тех,
кому разрешён доступ.
14. Заходим в Objects>Address Book и выбираем Add>IP4 Address
6
15. Указываем
Name: director
Address: 192.168.50.20
и нажимаем ОК.
16. Аналогично создаём объекты для всех остальных пользователей, например
Name: admin
Address: 192.168.50.30
и нажимаем ОК.
и т.д.
17. Заходим в Objects>Address Book и выбираем Add>IP4 Group
7
18. В поле Name пишем allow_facebook, а в поле Group members переносим объекты всех
пользователей, которым разрешён доступ в колонку Selected и нажимаем ОК.
19. Заходим в Rules>IP Rules>lan1_to_wan1 и нажимаем Add>IP Rule
20. Указываем:
Name: allow_facebook
Action: NAT
Service: all_services
Source Interface: lan1
Source Network: allow_facebook
Destination Interface: wan1
Destination Network: facebook
и нажимаем ОК.
8
21. Заходим в Rules>IP Rules>lan1_to_wan1, щёлкаем правой кнопкой мышки на правиле
"allow_facebook" и выбираем Move to Index
22. В появившемся окне указываем 2 и нажимаем ОК
Порядок правил должен выглядеть следующим образом
9
23. Сохраняем и активируем конфигурацию
10