Как запретить доступ к сайту через роутер


Как заблокировать сайт на роутере

Потребность блокировки доступа к определённым сайтам может возникнуть по разным причинам. Например, когда родители не хотят, чтобы дети зависали в соцсетях или заходили на интернет-ресурсы для взрослых. Или в офисе, чтобы сотрудники работали, не отвлекаясь на веб-сёрфинг. Способов для этого существует немало. Но в этой статье мы рассмотрим самый эффективный – блокировку сайта на роутере.

Ограничение доступа в интернет

Заблокировать доступ к сайту или нескольким сайтам на компьютере можно разными способами:

  • Отредактировать файл hosts, который находится в папке C:\Windows\System32\drivers\etc. Открыть его можно с помощью стандартной программы «Блокнот». В этот файл дописываются адреса сайтов, которые нужно заблокировать. После сохранения изменений и перезагрузки компьютера эти сайты загружаться не будут.
  • Запретить доступ к сайтам в брандмауэре Wndows. Сайты блокируются по IP-адресу. Также брандмауэр позволяет заблокировать доступ в интернет программам, например, мессенджерам.
  • В популярном браузере Google Chrome есть специальное расширение Block Site, которое нужно установить из магазина Chrome. С помощью этого расширения можно запретить доступ к сайтам в этом браузере. В других браузерах при этом сайты работать будут.
  • Кроме того, доступ к сайтам можно ограничить с помощью различных сервисов. Например, OpenDNS, Skydns.ru, Яндекс.DNS. Или же посредством специального программного обеспечения.

Недостаток этих способов в том, что настраивать блокировку нужно вручную на каждом компьютере. Кроме того, если пользователь ПК в курсе того, как это работает, он сможет изменить настройки и открыть доступ к заблокированным ресурсам.

Поэтому более надёжным способом блокировки является ограничение доступа в интернет через роутер. Преимущества этого способа очевидны:

  • Можно настроить блокировку как для конкретного компьютера по МАС-адресу или IP, так и для нескольких компьютеров или для всех компьютеров в сети.
  • Пользователи клиентских устройств, не имея доступа к роутеру, не смогут изменить настройки.

Настройка блокировки на роутере

Принципы настройки блокировки сайтов аналогичны для большинства роутеров, однако в веб-интерфейсе устройств разных производителей имеются некоторые различия. Мы рассмотрим как заблокировать доступ к сайтам на примере роутеров трёх производителей – TP-Link, Asus и ZyXEL.

TP-Link

В роутерах TP-Link имеется встроенная функция «Контроль доступа», которая позволяет либо запретить доступ к определённым сайтам либо наоборот разрешить доступ только к определённым сайтам.

Настройка целей

Для настройки блокировки войдите в веб-интерфейс вашего роутера. Найдите в меню пункт «Контроль доступа» или Access Control, если у вас англоязычная версия прошивки. Откройте подпункт «Цель» (Target). Здесь нужно добавить правило блокировки. Для этого нажмите кнопку «Создать» (Add New).

В открывшемся окне в пункте «Режим» выберите из выпадающего списка «Доменное имя», а в следующем окошке введите описание правила. В описании можете написать что угодно. Далее в полях «Доменное имя» введите адрес или часть адреса сайта, который вы хотите заблокировать. В данном примере показана блокировка социальных сетей на роутере: ВКонтакте, Facebook, Одноклассники и Мой Мир.

 

Не обязательно писать полный адрес. Например, для того чтобы заблокировать доступ к сайту YouTube на роутере, достаточно ввести “youtube”. Тогда будет блокирован доступ ко всем сайтам, в адресе которых присутствует это слово.

Таких правил вы можете создать сколько угодно. В нашем примере мы создали 2 цели: для блокировки основных соцсетей и для YouTube. На всякий случай для YouTube было прописано “youtube.com”.

Теперь вам нужно указать доступ с каких устройств или компьютеров вашей сети будет блокироваться.

Настройка узлов

Для этого переходим в разделе «Контроль доступа» в другой подпункт – «Узел» (Host). Здесь жмём кнопку «Добавить».

Можно указать IP-адреса устройств, если они в вашей сети статические. Но, как правило, они динамические. Поэтому блокировать лучше по МАС-адресу. Для этого в поле «Режим» выбираем «МАС-адрес», в поле «Имя узла» вводим любое описание, а в поле «МАС-адрес» вписываем адрес устройства, на котором нужно заблокировать доступ.

Включение

Параметры блокировки настроены. Теперь её нужно включить.

Для этого в пункте «Контроль доступа» выбираем подпункт «Правило». Здесь первым делом ставим галочку «Включить управление контролем доступа к Интернет» и жмём кнопку «Сохранить». Прокручиваем страницу вниз и жмём кнопку «Создать».

Придумываем название для правила блокировки, в поле «Узел» выбираем из списка нужный компьютер, в поле «Цель» – список блокируемых сайтов. Сохраняем настройки и перезагружаем роутер.

В данном случае была выбрана любая цель. Хотя в выпадающем меню можно было бы выбрать одну из ранее созданных целей: для блокировки YouTube или соцсетей.

ZyXEL

На роутерах фирмы ZyXEL в прошивке установлены два сервиса, с помощью которых можно ограничить доступ к сайтам. Это SkyDNS и Яндекс.DNS. В старых версиях прошивки этих сервисов нет. В этом случае нужно обновить ПО устройства.

Яндекс.DNS предназначен для блокировки вредоносных сайтов и сайтов для взрослых, но в нём нет возможности вручную указать адреса сайтов, к которым нужно закрыть доступ. Эта возможность присутствует в SkyDNS.

Регистрация в SkyDNS

Войдите в веб-интерфейс роутера и перейдите на вкладку «Безопасность». Вверху страницы выберите вкладку SkyDNS. Если вы не пользовались этим сервисом ранее, появится окно с предложением зарегистрироваться. Перейдите по ссылке на сайт и пройдите процедуру регистрации. Потребуется указать адрес электронной почты и придумать пароль. А потом выбрать тарифный план.

Сервис SkyDNS не совсем бесплатный, однако платить нужно только за расширенные возможности. Базовым функционалом можно пользоваться бесплатно.

Настройка роутера

После регистрации вы можете войти в личный кабинет и настроить блокировку сайтов. Есть возможность заблокировать доступ сразу к целым категориям сайтов. Например, к соцсетям. Для этого перейдите во вкладку «Фильтр» и поставьте галочки напротив нужных категорий. Если же вам нужно заблокировать конкретные сайты, нажмите кнопку «Разрешить всё», сохраните настройки и перейдите во вкладку «Домены». Здесь есть раздел «Чёрный список», в который вы можете добавить адреса сайтов, которые нужно заблокировать. Этот список можно редактировать, добавлять и удалять сайты в любое время, зайдя в личный кабинет SkyDNS.

Собственно, это всё, что нужно сделать. Теперь необходимо выполнить дополнительные настройки на роутере, чтобы сервис заработал на вашем устройстве.

Снова идём на вкладку SkyDNS и в открывшемся окне укажите адрес электронной почты и пароль, которые вы ввели при регистрации. Поставьте галочку в пункте «Включить» и сохраните настройки.

Бесплатный функционал SkyDNS не позволяет создавать правила блокировки для разных клиентских устройств вашей сети. То есть доступ к чёрному списку сайтов будет заблокирован на всех устройствах. Для создания отдельных профилей для каждого устройства или ПК вам придётся перейти на платный тариф.

Профили для устройств создаются там же, в личном кабинете на сайте SkyDNS. Перейдите в пункт «Настройки» – «Профили». И добавьте нужные вам профили, дав им названия. Например, «Для планшета», «Для ПК №2» и так далее. Потом во вкладке «Фильтры» задайте фильтры для каждого профиля. После этого войдите в веб-интерфейс  роутера,  откройте вкладку «Домашняя сеть» и кликните на устройство, которому вы хотите задать профиль. Откроется окно, в котром нужно поставить галочку напротив пункта «Постоянный IP-адрес» и нажать кнопку «Зарегистрировать». Все зарегистрированные устройства появятся на вкладке SkyDNS. Напротив каждого устройства можно выбрать нужный профиль.

Asus

Производитель роутеров Asus почему-то не удосужился сделать полноценную возможность блокировки для сайтов. В веб-интерфейсе устройства есть функция «Родительский контроль», однако она не решает данную задачу. С её помощью можно настроить ограничение доступа в интернет по времени для определённых устройств. На сайте есть отдельная статья про родительский контроль. Блокировать сайты посредством этой функции нельзя.

Есть возможность настроить фильтрацию адресов с помощью встроенного брандмауэра. Однако здесь нет возможности задать параметры блокировки для конкретного устройства. А также брандмауэр не позволяет заблокировать доступ к сайтам с адресом https.

Для того, чтобы воспользоваться этой функцией, перейдите на вкладку «Брандмауэр». Здесь минимум настроек. Блокировать сайты можно по адресам и ключевым словам.

Заключение

Таким образом, наиболее полноценно функция блокировки сайтов реализована на роутерах TP-Link. Разработчики ZyXEL поленились создать собственный функционал и обладателям этих роутеров приходится использовать сторонний сервис, который к тому же не бесплатный. А в роутерах Asus функция блокировки доступа к сайтам представлена в сильно урезанном виде.

Решено: диапазон запрета списка доступа для IP-подсети

Привет, у меня есть маршрутизатор, к которому подключено несколько компьютеров.

Эти компьютеры разделены на подсети с / 26 255.255.255.192. Для каждой подсети есть компьютер. .2 .66 .130 .194

Я пытаюсь запретить доступ к исходящему порту F1 / 0 для IP-адресов в диапазоне от 10.10.9.63 до 10.10.9.127

Я попытался запретить доступ, составив список доступа

1 разрешение 10.10.9.0 0.0.0.255

список доступа 2 запретить 10.10.9.64 0.0.0.63

int f1 / 0

ip access-group 2 out

вроде как все запрещено.

Я действительно не понимаю, как это сделать без использования нат. Когда я пробую nat, все становится еще более запутанным.

Если на данный момент игнорировать nat и dhcp, как мне заставить это работать со статическими IP-адресами.

Кстати, я использую GNS 3, и мой маршрутизатор - cisco 7200, и я использую стандартный список доступа.

Я в основном хочу иметь 3 подсети.0 .128 .192, чтобы разрешить выход из сети и, в конечном итоге, также иметь nat для перевода своего IP-адреса в диапазон 192.168.1.1 - 192.168.1.254 (если бы это работало без попытки запретить подсеть).

Кажется, все, что я могу сделать, это отрицать все, и я чувствую, что это как-то связано с добавлением запрета в конец списка доступа к разрешениям.

Любые идеи были бы отличными для этого новичка!

.

Как заблокировать доступ целым странам к вашему веб-сайту


Популярных публикаций на SitePoint сегодня:


Если у вас сайт, то по умолчанию он доступен для всей планеты. Многие веб-сайты просто не имеют отношения к людям из других стран. Так что ожидать от них значительного трафика, естественно, не стоит.

Если у вас есть местный книжный магазин, и ваш основной рынок сбыта - это местные жители, входящие в ваш магазин, то нет необходимости разрешать другим странам индексировать или тратить пропускную способность на вашем сервере.То же самое может относиться к автомойке, няне или стрижке газонов.

Если у вас есть личный или даже частный веб-сайт, например семейный блог, вы можете по умолчанию сильно ограничить трафик.

Вот скриншот Awstats, говорящий мне, что Китай отвечает за второй по величине объем трафика на определенный веб-форум, которым я управляю. Это только на январь 2015 года.

Хотя вполне возможно, что китайцы найдут содержание форума полезным, на самом деле нет никакого объяснения этой активности.Мы не обслуживаем специально Китай и не рекламируем его для привлечения жителей Китая. Сайт даже не предлагает китайский перевод и не говорит о китайских проблемах.

Я также знаю, что 99% всех попыток взлома пароля пользователя методом перебора исходят с китайских IP-адресов. Приблизительно от 50 до 100 попыток грубой силы «угадать» пароли к легитимным именам пользователей происходят с китайских IP-адресов каждый день на этом сайте.

Разница между 1,9 миллионами страниц и 134 000 страниц довольно большая, и 1.86 ГБ пропускной способности - это еще не конец света. Но когда я знаю, что 99% из них - подделка, боты, взломы методом перебора, сканеры уязвимостей и поисковые роботы, то почему бы мне просто не заблокировать доступ Китая к моему сайту?

Есть несколько причин против блокировки доступа в страны. Очевидный пример - отели. Несмотря на то, что они обслуживают только местных жителей, которые приходят сюда, чтобы остановиться, иностранцы, приезжающие в этот район, будут искать отели до того, как приедут. Тот же аргумент можно использовать для модных ресторанов, курортов, аренды автомобилей, пригородных перевозок и так далее.Вам нужно будет решить (и проверить свою веб-статистику!), Принесет ли вам блокировка определенных стран или нет.

Ниже приведены многие распространенные способы блокировки стран с некоторыми плюсами и минусами, а также примеры кода.

.htaccess

Если вы веб-администратор, возможно, вы знаете, что попытки сделать некоторые вещи (например, заблокировать целые страны через .htaccess) - проигрышная игра. Законные хакеры используют прокси или бот-фермы для выполнения своей грязной работы. Тот факт, что IP-адрес поступил из Китая, не означает, что его блокировка принесет пользу в долгосрочной перспективе.

Веб-администраторы редко блокируют IP-адрес просто потому, что этот IP-адрес однажды сделал непристойные вещи. Настоящий хакер не будет использовать свой личный IP-адрес, и нет гарантии, что IP-адрес всегда останется у недобросовестного пользователя.

Легальные пользователи тоже могут использовать прокси! Имейте в виду, что если вы заблокируете неплохую страну только потому, что считаете, что она не имеет отношения к вашему трафику, у вас могут быть пользователи, использующие прокси или VPN в этой стране.

Это еще и проигрышная игра, потому что существует более четырех миллиардов IPv4 IP-адресов, и нет простого способа разделить их по странам.Другими словами, ваш файл конфигурации .htaccess или Apache (или другой ACL / брандмауэр), скорее всего, вырастет до сотен тысяч строк текста, если вы захотите самостоятельно заблокировать страны таким образом. Это непрактично и неэффективно.

Если вы хотите узнать, сколько строк потребуется в .htaccess, чтобы заблокировать страну, попробуйте использовать ip2location. Чтобы заблокировать США, вам нужно более 150 000 строк текста!

Суть в том, что не используйте .htaccess или конфигурацию Apache или любой другой ACL веб-сервера, чтобы пытаться заблокировать страны.Это может быть хорошо для нескольких IP-адресов, но эти файлы читаются на каждый запрос и не кэшируются; рано или поздно тебе будет больно.

СОВЕТ: если вы все равно заинтересованы в использовании маршрута .htaccess и хотите получать точный, «прямо из источника», ежедневно обновляемый список IP-адресов по странам, вы можете начать с чтения того, что этот парень сделал для автоматизации. .

Фактический код для блокировки IP-адреса с помощью .htaccess может быть таким простым:

  Заказ запретить, разрешить Запретить с 1.1.1.1 Запретить с 2.2.2.2 Запретить с 3.3.3.3  

С помощью этого инструмента можно сгенерировать код.

Вы можете получить гораздо более продвинутый вариант, например, ограничение на основе используемого протокола, но это основная идея. Ваш файл .htaccess выйдет из-под контроля!

Использовать хостинговую компанию, у которой есть блокировка как часть встроенных средств управления

Звучит неплохо, но встречается очень редко. Большинство хостинговых компаний предоставляют серверы таким образом, чтобы сделать это функцией, которую они не могут предложить.Два основных типа:

Чистый металл

«Голый металл» или VPS - это машина, которую вы полностью контролируете. От программных брандмауэров до программного обеспечения для хостинга и панелей управления - все в ваших руках.

Это может быть, например, дроплет DigitalOcean или сервер без ОС от InMotionHosting или Rackspace.

Часто, когда вы покупаете "голый металл" или VPS, вы не можете изменить способ маршрутизации серверной части. Я не нашел хоста, для которого блокировка страны включена в план и конфигурацию по умолчанию.В лучшем случае они предоставляют вам базовый брандмауэр для добавления IP-адресов в черные или белые списки.

Виртуальный хостинг

Вы можете настроить сервер с помощью панели управления Plesk или cPanel. Это просто панели управления для работы с базами данных, электронной почтой, резервными копиями и многим другим. Общий сервер обычно поставляется с панелью управления, но вы не можете включить сетевые элементы управления, которые затем повлияют на другие веб-сайты, размещенные на общем сервере с тем же IP.

В лучшем случае панель управления позволит вам легко добавить IP-адреса в брандмауэр или разрешить редактирование.htaccess, но я не встречал ни одного с элементами управления одним щелчком для блокировки трафика по странам.

Вот мой блокировщик IP cPanel:

Короче говоря, сама хостинговая компания вряд ли поможет вам в этом, и вы не сможете блокировать IP-адреса через панель управления по одному!

Блокировка страны действительно кажется чем-то, что, как вы думаете, может разрешить веб-хостинг, поэтому я включил эту категорию, но, к удивлению, я не могу найти ни одной, которая поддерживает.

Сети доставки контента

Это не всеобъемлющее решение для всего вашего веб-сайта, но оно частично решает проблему.Если ваш веб-сайт предоставляет статический контент, такой как медиафайлы, изображения или другие файлы, вы можете использовать CDN со встроенными инструментами геолокации, чтобы заблокировать доступ к определенным странам.

Крупный игрок здесь - Amazon CloudFront. Прочтите страницу с подробностями и перейдите к разделу «Географические ограничения». Цитата:

Geo Restriction или Geoblocking позволяет вам выбрать страны, в которых вы хотите ограничить доступ к вашему контенту. Настроив белый или черный список стран, вы можете контролировать доставку своего контента через Amazon CloudFront только в страны, где у вас есть лицензия на распространение.

Большинство хороших сетей CDN имеют географические ограничения в той или иной форме. Другой пример - Akamai, который не только разрешает блокировку по коду страны, но вы также можете блокировать на основе их списка стран, на которые распространяется эмбарго США.

Если у вас есть CDN, доставляющий ваш контент, вы, вероятно, не особо беспокоитесь о пропускной способности (если только вы не платите за это дополнительно в CDN!). Но это помогает и другими способами, например, с лицензированием, если вы не разрешаете просмотр или прослушивание ваших СМИ в определенных странах.

Модули Apache

Вам не нужно заполнять.htaccess с тысячами строк IP-адресов. Вместо этого вы можете установить библиотеку C и модуль Apache, которые сделают за вас тяжелую работу.

MaxMind предоставляет популярную бесплатную базу данных, которая часто используется для поиска IP. Их GeoLite2 - это бесплатная база данных, которая обновляется ежемесячно. Их платный продукт более точен и обновляется чаще, если вам это нужно.

Используя эту базу данных и установив один из их различных API-интерфейсов, вы можете обрабатывать трафик по своему усмотрению.

Для наших целей вам потребуется установить API библиотеки C, а также модуль Apache.(RU | DE | FR) BlockCountry Запретить с env = BlockCountry

Это заблокирует Россию, Германию и Францию. Получите здесь свои двухбуквенные коды стран по ISO.

Это будет работать намного лучше, чем если бы вашему серверу приходилось разбирать тысячи строк текста при каждом запросе в файле .htaccess!

Вам нужен расширенный доступ к вашему серверу для установки библиотеки и модуля, так что это бесполезно для общих хостов или там, где у вас нет такого доступа на VPS.

Это также будет работать, если по какой-то причине вам понадобятся определенные правила блокировки на уровне папки.

Уровень приложения

Самая быстрая блокировка произойдет, когда она полностью отключена от вашего сервера, обрабатывается на уровне маршрутизации или отдельными DNS-серверами или прокси-сервером, прежде чем трафик даже попадет на ваш веб-сервер. Следующим по скорости будет программный брандмауэр как часть операционной системы до того, как трафик перейдет к программному обеспечению вашего веб-сервера.

Мы говорили о блокировке на уровне веб-сервера, например, с помощью конфигураций Apache или .htaccess, но теперь мы достигли самого верхнего, 7-го уровня OSI, на уровне приложения.

Вы можете заблокировать на уровне приложения, используя те же API MaxMind, упомянутые ранее. На этот раз вы можете установить PHP, .NET или Perl API, которые помогут вам принимать решения о географическом местоположении прямо в логике вашего приложения.

Это может быть необходимо, если вам нужно принять решение, например, показать другую страницу для разных стран или языков или предложить совершенно разные предложения в зависимости от страны, и вам нужно каким-то образом изменить основную логику вашего приложения.

Прочтите это, чтобы получить представление о том, как это делается в PHP.

Это будет один из самых медленных методов, так как вам нужно выполнить поиск по их IP и проверить его, прежде чем ваш код сможет полностью скомпилировать страницу. Умножьте это на тысячи посещений в день, и вы можете столкнуться с некоторым отставанием в производительности, если вы не очень оптимизированы.

Я не предпочитаю делать полную блокировку на уровне приложения. К тому времени, когда человек заблокирован, он уже связался с вашим сервером, отправил некоторые данные, использовал полосу пропускания, взял несколько циклов процессора и т. Д.Но в некоторых особых случаях это может быть ровно того метода, который вам нужен.

Блокировка уровня приложений имеет любую вообразимую форму, вы можете найти API и файлы данных для любого языка, который вам нужен. Некоторое предварительно созданное программное обеспечение, особенно программное обеспечение для электронной коммерции, более чем вероятно, имеет встроенные инструменты геотаргетинга, такие как Prestashop. Они изменят такие вещи, как отображаемая валюта, на основе геоданных.

Действительно ли мне приходится иметь дело с API и т.п.?

Конечно, нет! Один из самых крутых способов сделать это на уровне приложения - использовать любое количество доступных (и бесплатных) веб-API.

Например, freegeoip.net отправит вам географические данные, просто обратившись к их URL-адресу в виде «freegeoip.net/{format}/{IP_or_hostname}», где формат - csv, xml, json или jsonp.

Все, что вам нужно сделать, это получить IP-адрес пользователя, отправить его по URL-адресу и проанализировать ответ! Freegeoip позволяет выполнять до 10 000 запросов в час, но если вам нужно больше, вы можете бесплатно загрузить их сервер и запустить свой собственный сервис!

Вы можете не только получить код страны, но и прочитать город, почтовый индекс, часовой пояс и координаты GPS.

Естественно, этот метод имеет собственное запаздывание, когда вы ждете ответа из совершенно другого домена, но мы здесь не говорим о секундах! Это довольно быстро, и очевидно, что они могут обслуживать 10 000 запросов в час для многих пользователей одновременно, так что это что-то.

Таблицы маршрутизации

Я кратко упомянул блокировку на уровне межсетевого экрана; это, конечно, тоже вариант. Это может быть одно из наименее автоматизированных решений, если вы не опытный администратор сервера.

Это, естественно, снизит накладные расходы на программное обеспечение вашего веб-сервера (например, Apache), и вам также не придется самостоятельно писать код на уровне приложения.

Обычно я думаю, что попытки поддерживать таблицы маршрутизации в актуальном состоянии с точными IP-адресами станут головной болью при обслуживании. Я бы не пошел по этому пути, если количество IP-адресов, которые вам нужно заблокировать, не будет минимальным, и вам будет удобно редактировать таблицы брандмауэра и автоматизировать их обновления.

В любом случае, посетите ipdeny.com, где вы можете скачать списки стран в виде файлов зон. Их файл зоны на самом деле представляет собой просто текст с одним адресом CIDR в строке.

Для получения инструкций по использованию iptables и написанию сценария для этого процесса в Linux прочтите это.

Даже при том, что это удаляет некоторые накладные расходы с веб-сервера, наличие тысяч строк, которые нужно обрабатывать в маршрутизаторе, может привести к накладным расходам своего рода. Я считаю, что это действительно не лучший метод.

Однако этот метод имеет другой эффект. Любые заблокированные IP-адреса не просто блокируются для веб-трафика порта 80, но и буквально блокируются для любого доступа к вашему серверу! Другие методы могут заблокировать доступ Китая к вашей веб-странице, но это не помешает им попытаться войти в систему с правами root через SSH!

Эту усиленную безопасность гораздо лучше настроить с помощью модели отрицательной безопасности, просто заблокируйте все , кроме , несколько действующих точек доступа в вашем маршрутизаторе, вместо того, чтобы пытаться заблокировать огромные участки планеты!

Этот метод также не подходит для виртуального хостинга или заблокированных серверов, где вы не можете получить доступ к программам маршрутизации или выполнять массовые обновления для них.

ModSecurity

ModSecurity - это брандмауэр веб-приложений для Apache, IIS и Nginx, предназначенный для защиты от многих типов атак и позволяющий осуществлять мониторинг HTTP-трафика, ведение журнала и анализ в реальном времени.

Вы можете установить и настроить это на голом сервере, если у вас есть навыки! Если у вас есть хост, который предоставляет вам WebHostManager (WHM), вы можете настроить его из интерфейса WHM.

ModSecurity настроен на свой собственный язык, называемый ModSecurity Rule Language, который предназначен для работы с данными транзакций HTTP.

ModSecurity - это огромная тема сама по себе, с множеством различных форм защиты, которые она может предложить. Однако для наших целей он имеет встроенную поддержку ранее упомянутой базы данных MaxMind для поиска и правил GeoIP.

Вот пример правила ModSecurity для блокировки Китая:

  SecGeoLookupDb /path/to/geo/data/GeoIP.dat SecRule REMOTE_ADDR "@geoLookup" "цепочка, id: 20, drop, msg: 'Заблокировать IP-адрес Китая'" SecRule GEO: COUNTRY_CODE "@streq CN"  

Чтобы это сработало, вы должны обратить внимание на то, какую базу данных MaxMind вы используете, и на свою реализацию ModSecurity.

Если вы используете WHM, вот что вы бы сделали.

Сначала загрузите существующую базу данных стран , которую можно найти здесь. Важно получить устаревшую базу данных в формате * .dat, поскольку модуль Apache ModSecurity пока не может использовать более новый формат * .MMDB.

Более быстрый способ - сначала создать папку для хранения файла базы данных. Я использовал / usr / share / geoip / , что довольно часто.

Используйте эту команду для загрузки файла каждый месяц (он обновляется в первый вторник месяца).

  wget -N http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz  

Многие люди загрузят последнюю версию в среду или четверг, на всякий случай, если они не успевают обновить файл.

После загрузки извлеките с помощью этой команды:

  gzip -df GeoIP.dat.gz  

Переключатели говорят ему «сдуть» и перезаписать существующий файл.

Теперь войдите в WHM и перейдите в Центр безопасности-> Конфигурация ModSecurity.Прокрутите вниз до «База данных геолокации» и введите путь сверху.

Вы также можете убедиться, что механизм правил настроен на обработку правил. Затем сохраните изменения.

Затем перейдите в раздел ModSecurity Tools. Вы увидите текущий «Список обращений», показывающий действия, выполняемые любыми активными правилами. Нажмите кнопку «Список правил», а затем нажмите «Добавить правило».

Скопируйте это правило:

  # Проверить IP-адрес и заблокировать по коду страны SecRule REMOTE_ADDR "@geoLookup" "этап: 1, цепочка, id: 10, drop, log, msg: 'Blocking China IP Address'" SecRule GEO: COUNTRY_CODE "@streq CN"  

Установите флажок «Включить правило», а также флажок «Развернуть и перезапустить Apache», а затем «Сохранить».

В кратчайшие сроки вы должны увидеть, что ваше новое правило блокирует некоторый трафик.

Просто убедитесь, что если вы воспользуетесь этим методом, он будет заблокирован для ВСЕХ доменов, размещенных под WHM! Если вы хотите заблокировать только определенные домены, вам потребуется дополнительная настройка. Ни один из моих доменов, размещенных на этом сервере WHM, не требует читателей из Китая, поэтому я решил заблокировать все домены.

Также обратите внимание, что если на вашем WHM нет такого меню, как у меня, возможно, вы не в актуальном состоянии.Убедитесь, что вы используете последнюю версию, которая на данный момент 11.48.0 (сборка 12).

Если у вас нет WHM, вам придется установить и настроить ModSecurity вручную и, вероятно, также использовать другую (не устаревшую) базу данных.

Также…

Вам также следует ознакомиться с предложениями на ConfigServer. У них не только есть собственный продукт для обеспечения безопасности и межсетевого экрана, но он также интегрируется с продуктами cPanel. У них даже есть плагин для WHM / cPanel для дополнительного контроля ModSecurity.

Пространство WAF (брандмауэр веб-приложений) имеет множество опций и само по себе является большой темой. Здесь много претендентов и даже голых металлических приборов, которые выполняют эту работу, например, от Barracuda.

Используйте прокси-службу в своем домене

Наш последний метод заключается в том, чтобы скрыть ваш домен за прокси-службой, которая по сути обрабатывает весь исходный трафик, прежде чем перенаправить его на ваш сервер.

Это работает на уровне DNS, и часто все, что вам нужно сделать, это изменить настройки DNS, чтобы использовать их.

Самым известным игроком здесь будет CloudFlare.

Ваш сайт не только работает через прокси-сервер, но также предоставляет функции безопасности, доставку контента и многие другие элементы управления. Если у вас небольшой (безумно) сайт и вам не требуются их расширенные функции, почти нет причин, по которым вы не должны защищать свой сайт с помощью их полностью бесплатного плана. Подробности смотрите в планах. И я уже упоминал, что они довольно хорошо справляются с атаками DOS?

Они также действуют как обратный прокси-сервер с услугами CDN и обслуживают ваш контент с помощью серверов геотаргетинга.Из-за этого они могут вставлять контент на ваш сайт, например, дополнительную аналитику или различные «приложения», которые вы можете добавить. Примером приложения является приложение «Лучший браузер», которое будет уведомлять ваших пользователей, если они используют устаревший браузер. Они делают это без необходимости кодировать что-либо дополнительно на своем сайте или самостоятельно создавать эту логику.

Нет ничего проще, чем заблокировать страну. Просто войдите в систему и перейдите в «Контроль угроз», затем там, где написано «Добавить собственное правило», начните вводить полное название страны и затем щелкните его в раскрывающемся списке.Нажмите большую красную кнопку «Заблокировать», и все готово!

Заблокируйте любые страны, которые вам нужно, и тогда они появятся в вашем «черном списке».

Это может быть самый быстрый и простой способ включить некоторый уровень защиты, поддержку CDN, обратное кэширование прокси и возможности блокировки страны в домене. Вы можете привязать свой домен к CloudFlare и получить его защиту и настройку примерно за 10 минут.

Я упомяну здесь еще одного игрока, и это Инкапсула.Они делают много того же и напрямую конкурируют с ClourFlare. У них также есть бесплатный план, который вы можете использовать в неограниченных доменах с основными функциями. С CloudFlare вы должны изменить свои записи NS, но Incapsula требует только CNAME, что может лучше соответствовать тому, как обрабатывается ваш DNS.

Если вы серьезно относитесь к использованию прокси-сервисов (и вам все равно следует серьезно об этом подумать), изучите CloudFlare и Incapsula, чтобы выбрать лучший вариант для ваших нужд.

tl; dr - Просто так получилось, что есть довольно глубокий анализ CloudFlare vs.Incapsula против ModSecurity на Slideshare от Zero Science Lab, проверьте это.

Сводная записка о безопасности

Я потратил немного больше времени на ModSecurity и CloudFlare, потому что я склонен полагать, что это ваши лучшие варианты сегодня. Не думаю, что вам следует возиться с правилами .htaccess или брандмауэра. В некоторых ситуациях могут потребоваться географические ограничения на уровне приложения, поэтому при необходимости это хороший вариант.

В конце концов, вам действительно стоит обратить внимание на CloudFlare, Incapsula и ModSecurity, чтобы обеспечить вам большую степень защиты от сегодняшних атак и проблем с безопасностью.Или посмотрите другие решения WAF.

Когда вы устанавливаете ModSecurity с WHM, существует множество правил по умолчанию, которые начинают защищать вас от вещей, о которых вы даже не задумывались. Например, мой начал блокировать запросы, используя протокол COOK, а не GET или POST. Зачем? Поскольку очевидно, что этот протокол иногда обрабатывается встроенным компилятором в ОС и может использоваться через Интернет. Кто знал? Вероятно, в какой-то момент это был успешный взлом, хотя не уверен, что давно его исправили.

Если вы устанавливаете ModSecurity с нуля, правила по умолчанию не устанавливаются. Чаще всего нужно установить готовый набор правил. Лучшим является набор основных правил OWASP ModSecurity Core Rule Set (CRS). Это защищает от многих известных приемов взлома и плохого поведения, такого как запрос содержимого по протоколу COOK!

Если вы используете ModSecurity, вы должны остерегаться ложных срабатываний. Будьте готовы справиться с ними и следить за заблокированным трафиком, который вы обычно разрешили бы.Следите за журналами на предмет чего-нибудь интересного.

Дополнительная литература

Если вы ищете дополнительную литературу по теме, почему бы не попробовать:

Заключение

У меня не было места, чтобы предоставить точную установку и примеры кода для каждого метода блокировки стран, но я надеюсь, что вы все же нашли что-то полезное.

Есть некоторые веб-администраторы, которые дурачат меня за то, что я вообще предлагаю блокировать страны, но это полностью зависит от вас, и у вас могут быть вполне веские причины для этого на ваших собственных доменах, так что мне все равно!

Я также хотел бы знать, знаете ли вы какие-либо веб-хосты, которые имеют встроенную готовую поддержку географических ограничений без суеты или дополнительных настроек.Я не нашла ничего!

Если я пропустил какие-то приемы, не стесняйтесь поделиться ими. Если вам нужна более подробная статья об использовании определенной техники в конкретной среде, возможно, мы сможем обсудить это на форумах.

.

Как изменить настройки домашнего роутера?

Обновлено: 31.08.2020, Computer Hope

Все современные маршрутизаторы имеют интерфейс конфигурации (панель администрирования), доступ к которому можно получить в веб-браузере. Следуйте инструкциям на этой странице, чтобы получить доступ к домашнему маршрутизатору и настроить его.

Типичные причины изменения настроек маршрутизатора

Причины, по которым вам может потребоваться изменить конфигурацию домашнего маршрутизатора, включают:

  • Изменение имени (SSID) вашей беспроводной сети.
  • Изменение пароля (ключа шифрования) вашей беспроводной сети.
  • Изменение правил брандмауэра вашего маршрутизатора, чтобы разрешить входящий или исходящий трафик на определенных сетевых портах.
  • Изменение серверов доменных имен (DNS), используемых вашим маршрутизатором для разрешения сетевых адресов.
  • Изменение имени пользователя и пароля, используемых для доступа к интерфейсу администрирования вашего маршрутизатора.
  • Включение или отключение удаленного администрирования для вашего маршрутизатора, что позволяет администратору настраивать маршрутизатор с компьютера вне сети.
  • Настройка родительского контроля для ограничения доступа к определенным веб-сайтам из вашей сети.

Как настроить мою модель роутера?

Каждый маршрутизатор отличается . Даже маршрутизаторы одного производителя могут использовать разные инструменты настройки в зависимости от модели. Поэтому для настройки маршрутизатора важно обратиться к руководству , которое соответствует вашей конкретной модели маршрутизатора. Если вы не знаете, какая у вас модель маршрутизатора, проверьте корпус маршрутизатора на наличие идентифицирующей информации.

Если у вас больше нет печатного руководства, прилагаемого к маршрутизатору, вы можете найти документацию в Интернете на веб-сайте поддержки производителя. Вот несколько быстрых ссылок на сайты поддержки популярных маршрутизаторов:

Доступ к интерфейсу настройки маршрутизатора

Большинство современных маршрутизаторов предоставляют административную панель управления, доступ к которой можно получить через веб-браузер. Вы можете подключиться к нему в своем веб-браузере, как если бы это был веб-сайт. Страница передается в ваш браузер прямо с вашего роутера.

Чтобы подключиться к веб-интерфейсу маршрутизатора, выполните следующие действия:

  1. Подключитесь к локальной сети - Вам необходимо подключиться к локальной сети через маршрутизатор, чтобы получить доступ к веб-интерфейсу маршрутизатора. Это соединение может быть беспроводным или проводным (с помощью кабеля Ethernet, подключенного к одному из портов Ethernet вашего маршрутизатора). Подробные инструкции по созданию проводного подключения к маршрутизатору см. В нашем руководстве.
  2. Открыть новое окно браузера - Вы можете использовать любой Интернет-браузер, например Firefox, Chrome, Edge или Safari.
  3. Перейдите к локальному адресу вашего маршрутизатора - В адресной строке введите IP-адрес вашего маршрутизатора. Это зависит от конфигурации вашего браузера, но обычно это одно из следующих:

192.168.0.1
192. 168.1.1
10.0.0.1
10.0.1.1

На изображении ниже адрес 192.168.0.1 вводится в адресную строку.

Если ни один из перечисленных выше IP-адресов вам не подходит, обратитесь к руководству.Некоторые маршрутизаторы могут зарезервировать специальный локальный адрес, который автоматически приведет вас к веб-интерфейсу вашего маршрутизатора. Например, ко многим маршрутизаторам Netgear можно получить доступ, перейдя по адресу routerlogin.net .

Вы также можете узнать адрес вашего маршрутизатора, спросив у сетевого оборудования вашего компьютера, что это такое. См. Определение адреса маршрутизатора ниже для получения дополнительной информации.

  1. Войдите в веб-интерфейс. - Если вы успешно перейдете к своему маршрутизатору, вы увидите приглашение входа, которое выглядит по-разному в зависимости от вашей модели маршрутизатора и используемого вами браузера.Это может выглядеть так же просто, как пример ниже.

В этом запросе введите имя пользователя и пароль администратора вашего маршрутизатора - обратите внимание, что это , а не , то же самое, что и пароль для подключения к вашей сети.

Если вы не знаете эту информацию, обратитесь к руководству вашего маршрутизатора. Его также можно распечатать на самом роутере. Некоторые производители маршрутизаторов создают уникальный логин для каждого маршрутизатора, а некоторые используют значение по умолчанию, которое одинаково для каждого устройства этой модели.

Если вы все еще застряли, вы всегда можете попробовать одну из традиционных комбинаций по умолчанию:

имя пользователя пароль
администратор пароль
администратор админ
администратор
администратор пароль
администратор
пользователь пароль
пользователь
  1. После ввода правильного имени пользователя и пароля вы можете получить доступ к веб-интерфейсу, который похож на следующий пример.

Отсюда у вас есть доступ ко всем настраиваемым параметрам вашего маршрутизатора.

Осторожно! Если вы измените что-то, чего не понимаете, вы можете случайно отключить или снизить производительность вашей сети. Если вы измените какие-либо настройки, запишите эти изменения на бумаге или в текстовом файле для дальнейшего использования.

Изменение имени и пароля маршрутизатора

После получения доступа к маршрутизатору (инструкции см. В предыдущем разделе) вы можете изменить имя (SSID) и пароль по умолчанию.Для этого следуйте приведенным ниже инструкциям. Однако имейте в виду, что каждый маршрутизатор немного отличается, поэтому шаги, используемые для поиска раздела пароля беспроводной сети вашего маршрутизатора, могут отличаться. Если вы не можете найти раздел безопасности беспроводной сети, обратитесь к руководству пользователя вашего маршрутизатора.

  1. Войдите в свой маршрутизатор (инструкции см. В предыдущем разделе).
  2. Найдите подраздел Setup или Wireless Setup , обычно в левой или верхней части окна.

  1. В меню Wireless Setup введите предпочтительное имя маршрутизатора и пароль в разделах Name (SSID): и Passphrase: .

  1. Нажмите кнопку, чтобы сохранить новые настройки, а затем выйдите из экрана конфигурации маршрутизатора.

Сброс маршрутизатора до заводских настроек (при необходимости)

Если вы допустили ошибку при настройке маршрутизатора или не можете войти в систему, используя имя пользователя и пароль по умолчанию для маршрутизатора, вы можете сбросить настройки маршрутизатора до заводских настроек по умолчанию.На большинстве беспроводных маршрутизаторов кнопка, предназначенная для этой функции, расположена на задней панели устройства. Кнопка может быть помечена, а может и не быть. Он также может быть утопленным, и для его нажатия потребуется скрепка. Подробности см. В руководстве.

Удерживание этой кнопки в течение определенного количества секунд вернет маршрутизатор к исходным настройкам. Обычно достаточно десяти секунд.

Помимо прочего, это приведет к сбросу имени беспроводной сети (SSID) и ключа (сетевого пароля) на значения по умолчанию.После сброса вам необходимо восстановить все подключения к беспроводной сети, используя эти значения по умолчанию.

Определение адреса роутера

Чтобы достоверно определить IP-адрес маршрутизатора, запросите у сетевого устройства его текущую конфигурацию. Это можно сделать разными способами в зависимости от вашей операционной системы:

Командная строка Windows

Как использовать командную строку Windows (DOS). окно. Вы можете сделать это, нажав Win + X (удерживая клавишу Windows и нажмите X), чтобы открыть меню «Опытные пользователи», затем выбрав Командная строка .

В командной строке введите ipconfig и нажмите Enter, чтобы открыть команду ipconfig.

 ipconfig 

IP-адрес вашего маршрутизатора указан в выходных данных в качестве шлюза по умолчанию:

В этом примере адрес маршрутизатора - 192.168.1.1 .

Windows PowerShell

Начиная с 2017 г., Windows 10 использует PowerShell в качестве командной строки по умолчанию. Это улучшенная версия традиционной командной строки.

Чтобы запустить PowerShell, нажмите Win + R (удерживая клавишу Windows и нажмите R). В меню Выполнить введите powershell и нажмите Enter (или нажмите OK).

В командной строке PowerShell запустите ipconfig , чтобы открыть команду ipconfig.

 ipconfig 
 Ethernet-адаптер Ethernet: DNS-суффикс для конкретного соединения. : ваше-имя-маршрутизатора Локальный адрес IPv6. . . . . : fa88 :: 3203: 8d2e: f035: 757a% 4 IPv4-адрес.. . . . . . . . . 
.

javascript - Как ограничить доступ к маршрутам в response-router?

Переполнение стека
  1. Около
  2. Товары
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
  5. Реклама Обратитесь к разработчикам и технологам со всего мира
  6. О компании

Загрузка…

  1. Авторизоваться зарегистрироваться
  2. Текущее сообщество

.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий