Инструкция по настройке и использованию Lan2net Firewall

Стандартные правила, настройка DNS и DHCP.

Для работы Lan2net Firewall нужна рабочая локальная сеть и на шлюзе должен быть доступ в интернет. Все сетевые интерфейсы обязательно должны бы в разных подсетях. В нашем примере, внешний инетрефейс 212.44.44.44, внутренний 10.1.1.1, локальная сеть 10.1.1.1 - 10.1.1.255. ВНИМАНИЕ!!! Только на одном интерфейсе может быть указан шлюз по умолчанию (default gateway). Lan2net Firewall позволяет использовать разные внешние интерфейсы для разного трафика, но в настройках сети Windows может быть только один шлюз по умолчанию.

Для создания основных правил можно воспользоваться мастером первоначальной настройки или создать их вручную.

Создадим основные правила.

Правило разрешающее любой трафик со шлюза: Источник: 127.0.0.1 все остальное по умолчанию, Название: Сервер. Адрес 127.0.0.1 означает любой адрес сервера.

Правило для доступа из локальной сети в Интернет: Источник: 10.1.1.2 - 10.1.1.254, действие - NAT, остальное по умолчанию. В действии NAT нужно указать внешний адаптер, при этом "Шлюз" должен подставиться автоматически. Для адаптера NDISWAN (dialup, PPOE) шлюз прописывать не обязательно. ВНИМАНИЕ!!! Если доступ в Интернет уже был в вашей сети, тогда NAT включать не надо, а действие выбрать - "Разрешить". Либо выключить NAT (Connection Sharing, Общий доступ и т.п.) других производителей.

Если шлюз получает адрес внешнего адаптера автоматически по DHCP протоколу, то нужно разрешить этот протокол: Протокол UDP, порты 67-68.

Если у вас в сети есть отдельный DNS сервер, то DNS форвард в Lan2net Firewall нужно отключить. Если нет, то можно использовать в настройках сети либо DNS сервер провайдера либо DNS форвард встроенный в Lan2net Firewall. Для этого нужно включить DNS форвард и указать DNS сервера. Можно указать публичные DNS сервера google - 8.8.8.8 и 8.8.4.4.

Для удобства настройки конфигурации сети на компьютерах пользователей, можно использовать DHCP сервер встроенный в Lan2net Firewall. Настройка его предельно проста. Нужно указать диапазон выдаваемых адресов, шлюз и DNS сервера, которые будут заданы для компьютеров пользователей.

При этих настройках доступ в Интернет будет на всех компьютерах локальной сети (диапазон 10.1.1.2 - 10.1.1.254, указанный в правиле для локальной сети) и на шлюзе без ограничений. При включенном логировании, будет сохранятся детальная информация о Интернет трафике в базе данных в файлах. Доступ к сохраненной информации можно получить через систему отчетов.

Ограничивающие правила, при этой конфигурации нужно располагать выше этих правил. Например, если требуется полностью запретить доступ на gmail.com, нужно создать правило, где в качестве назначения указан хост gmail.com и поместить это правило в самый верх. Таким образом, запрешается любой трафик на хост gmail.com (на все IP адреса соответствующие gmail.com). Для запрета интернет сайтов, работающих по HTTP протоколу удобнее воспользоваться Фильтром Сайтов.