Рассмотрим случай, когда необходимо отключить доступ для всей домашней сети к определенному веб-сайту.
Правила межсетевого экрана, добавляемые в веб-интерфейсе устройства, действуют для входящих в маршрутизатор сетевых пакетов. Поэтому созданное в пользовательском примере правило будет блокировать пакеты с указанным IP-адресом назначения (в нашем примере 217.20.147.94), входящие на подключенный к провайдеру интерфейс Keenetic (по умолчанию Broadband connection) из Интернета.
Для решения поставленной задачи нужно блокировать исходящие пакеты в Интернет.
Поскольку через веб-интерфейс интернет-центра невозможно поменять действие с «для входящих» на «для исходящих», применим два других способа.
1. Правило с IP-адресом блокируемой сети в поле IP-адрес назначения добавить на интерфейс домашней сети Home network.
В этом случае сетевой пакет, предназначенный блокируемой сети, будет отброшен на входе в LAN-интерфейс интернет-центра Keenetic.
2. Правило с IP-адресом блокируемой сети в поле IP-адрес источника добавить на интерфейс, предназначенный для выхода в Интернет (по умолчанию Broadband connection, но если у вас используется подключение с авторизацией PPTP (услуга «Реальный IP»), нужно указывать его).
В этом случае сетевой пакет пройдет через LAN-интерфейс и дойдет до блокируемой сети, а ответный пакет уже будет отброшен, когда вернется из Интернета на интерфейс устройства, подключенный к провайдеру.
Ограничение веб-интерфейса, через который можно настроить правило межсетевого экрана только для входящих пакетов, отсутствует при настройке через режим командной строки устройства. Командами можно задать правило как для входящих, так и для исходящих пакетов.
Информацию о командах по настройке правил Firewall можно найти в справочнике командного интерфейса –cli_manual_ru_kn_ra.