De configuratie van filters in ZyXEL routers.


referentie Z002C


Filters zijn in staat te voorkomen dat bepaalde pakketten worden doorgegeven door de router. Hiermee wordt de veiligheid van het netwerk vergroot.
De beveiliging is in sommige opzichten te vergelijken met die van een firewall, maar wat complexer in te stellen, aan de ene kant verfijnder en aan de andere kant beperkter.
De mogelijkheden van filters zijn vooral van belang voor wat oudere modellen breedband en ADSL routers en ongeschikt voor de onervaren computergebruiker

Veel problemen of fouten ontstaan van binnenuit, vaak eerder door onkunde of verkeerde afstelling van de router(s) dan door opzet.
Daarom is het zinvol om de Telnet (poort 23) toegang tot de router te blokkeren voor alle behalve een beperkt aantal machines, zodat alleen van deze machines de instellingen van de router kunnen worden gewijzigd.

De filters zijn toe te voegen via menu 21 van het ZyNOS hoofdmenu, u kunt dit bereiken met gebruik van Telnet of (iets ingewikkelder) met een seriele toegang

In dit menu staan reeds twee ingestelde filters. Deze filters zijn specifiek om Netbios pakketten af te vangen en om zo onnodige Call-triggers te vermijden. Indien dit niet is ingesteld zal uw router contact maken met de buiten wereld zodra een willekeurig werkstation een bepaald adres of service niet kan vinden en aan iedere node vraagt of dit adres of deze service eventueel bekend is. Dit zorgt voor veel onnodig verkeer.

Laat de bestaande filters staan en voeg een apart nieuw filter 3 toe.

Menu 21.3 - Filter Rules Summary

 # A Type                       Filter Rules                    M m n
 - - ---- ----------------------------------------------------- - - -
 1 N
 2 N
 3 N
 4 N
 5 N
 6 N

                  Enter Filter Rule Number (1-6) to Configure:

Algemene Regels

Een forward is een permanente forward (Incoming & Outgoing) Dit geeft 'F' onder 'm' of 'n' in menu 21.x
Een drop is een permanente drop (incoming & Outgoing) Dit geeft 'D' onder 'm' of 'n' in menu 21.x
Het is mogelijk om een reeks van filters gezamelijk af te handelen door in menu 21.x.1 More=yes te zetten, dit geeft een 'Y' onder 'M' in menu 21.x.

Call filters: Hier definieert men of pakketten wel of niet een uitbel actie zullen veroorzaken. DNS afvangen is dus een goede. Dit betekent ook dat pakketten die bij de Calling filters worden afgevangen, wel worden doorgegeven als er al reeds een telefoon verbinding is, want deze pakketten dienen bij de 'Outgoing filters' worden geblokkeerd.
Met het subnetmask(er) kan men het ip-gebied vergroten en verkleinen. Zodoende kan men specifiek een aantal ip-adressen te selecteren, echter het 'broadcast' en 'dit is het netwerk' wat normaliter van toepassing is bij afwijkende standaard subnetmask(er)s lijken in dit geval niet van toepassing bij de filtering.

Filter voorbeeld 1

Het eerste voorbeeld filter is bedoelt om er voor te zorgen dat vanaf het LAN (192.168.1.x) alleen van twee bepaalde IP-adres (192.168.1.34 en 35) een Telnet sessie (over het TCP/IP protocol naar "destination" poort 23) met de router (192.168.1.1) kunnen maken. Het eerste filter zorgt er voor dat de twee machines er wel bij kunnen en dat er anders wordt verder getest.


    Menu 21.3.1 - TCP/IP Filter Rule

Filter #: 3,1
Filter Type= TCP/IP Filter Rule
Active= Yes
IP Protocol= 6     IP Source Route= No
Destination: IP Addr= 192.168.1.1
             IP Mask= 255.255.255.255 <= alleen de router!
             Port #= 23               <= of 80 voor Web, 21 voor FTP
             Port # Comp= Equal
     Source: IP Addr= 192.168.1.34
             IP Mask= 255.255.255.254 <= 255.255.255.255 om maar een enkele machine te doen
             Port #= 0
             Port # Comp= None
TCP Estab= No
More= No           Log= None
Action Matched= Forward               <= zet op Drop om juist tegen te houden
Action Not Matched= Check Next Rule

                    Press ENTER to Confirm or ESC to Cancel:

Het tweede filter zorgt er voor dat de andere lokale machines geen Telnet verbinding kunnen opbouwen met de router en anders wordt wordt er verder getest.

     Menu 21.3.2 - TCP/IP Filter Rule

Filter #: 3,2
Filter Type= TCP/IP Filter Rule
Active= Yes
IP Protocol= 6     IP Source Route= No
Destination: IP Addr= 192.168.1.1
             IP Mask= 255.255.255.255
             Port #= 23
             Port # Comp= Equal
     Source: IP Addr= 192.168.1.0    niet .1 dan krijg je een foutmelding
             IP Mask= 255.255.255.0 <= het hele lokale netwerk
             Port #= 0
             Port # Comp= None
TCP Estab= No
More= No           Log= None
Action Matched= Drop                <= set op Forward om de rest juist door te laten
Action Not Matched= Check Next Rule

                  Press ENTER to Confirm or ESC to Cancel:

Na het bevestigen van de bovenstaande gegevens ziet het er dan als volgt uit (in het overzicht missen de maskers)

                        Menu 21.3 - Filter Rules Summary

 # A Type                       Filter Rules                  M m n
 - - ---- --------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=192.168.1.34, DA=192.168.1.1, DP=23        N F N
 2 Y IP   Pr=6, SA=192.168.1.0, DA=192.168.1.1, DP=23         N D N
 3 N
 4 N
 5 N
 6 N

                  Enter Filter Rule Number (1-6) to Configure:

Vergeet niet dat u de filters ook nog moet koppelen. Aangezien dit filter bedoelt is om bepaalde soorten pakketen vanaf het LAN naar de router tegen te houden, moet dit dus in Menu 3.1 gebeuren.

    Menu 3.1 - General Ethernet Setup

Ethernet Interface= 10BaseT
Input Filter Sets:
  protocol filters= 3, 2
    device filters=
Output Filter Sets:
  protocol filters=
    device filters=


Press ENTER to Confirm or ESC to Cancel:


Filter voorbeeld 2

Het nu volgende filter voorbeeld is (langdurig) getest in een ADSL omgeving icm. met een Alcatel Speedtouch Home modem met daarbij gebruik makend van een PPTP-verbinding vanaf een Zyxel router (Prestige 314).

                        Menu 21.7 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=47, SA=0.0.0.0, DA=0.0.0.0                                   N F N
 2 Y IP   Pr=17, SA=0.0.0.0, SP=67, DA=0.0.0.0, DP=68                     N F N
 3 Y IP   Pr=17, SA=0.0.0.0, SP=53, DA=0.0.0.0                            N F N
 4 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=80                             N D N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=23                             N D N
 6 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=21                             N D N
 

                        Menu 21.8 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1080                           N D N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1214                           N D N
 3 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1433                           N D N
 4 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1434                           N D N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=3128                           N D N
 6 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=5000                           N D N
 

                        Menu 21.9 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=4665                           N D N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=5190                           N D N
 3 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=5900                           N D N
 4 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=6346                           N D N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=12345                          N D N
 6 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=27374                          N D N
 

                       Menu 21.10 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=3389                           N D N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=2049                           N D N
 3 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP=1768                          N D N
 4 Y IP   Pr=1, SA=0.0.0.0, DA=0.0.0.0, DP<1024                           N D N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP<1024                           N D N
 6 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP<1024                          N D F
 

Menu 11.5 - Remote Node Filter

Input Filter Sets:
  protocol filters= 7,8,9,10
  device filters=
Output Filter Sets:
  protocol filters= 1
  device filters=
Call Filter Sets:
  protocol filters= 1
  device filters=


Filter voorbeeld 3 (uitgaand verkeer)

Het nu volgende filter voorbeeld is getest in een (Xs4all) ADSL omgeving icm. met een Alcatel Speedtouch Home modem met daarbij gebruik makend van een PPTP-verbinding vanaf een Zyxel router (Prestige 314).

                  Menu 21.5 - Filter Rules Summary

# A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=0, SA=10.0.0.140, DA=10.0.0.138                              N F N
 2 Y IP   Pr=47, SA=0.0.0.0, DA=0.0.0.0                                   N F N
 3 Y IP   Pr=17, SA=0.0.0.0, SP=68, DA=0.0.0.0, DP=67                     N F N
 4 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP=53                            N F N
 5 Y IP   Pr=1, SA=0.0.0.0, DA=0.0.0.0                                    N F N
 6 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP=123                           N F N


                  Menu 21.6 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=8080                           N F N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=443                            N F N
 3 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=110                            N F N
 4 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=80                             N F N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=25                             N F N
 6 Y IP   Pr=6, SA=0.0.0.0, DA=194.109.6.22                               N F N
 

                  Menu 21.11 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=23                             N F N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=21                             N F N
 3 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=20                             N F D
 4 N IP
 5 N IP
 6 N IP

Let op: Regel 5,5: Geeft aan dat uitgaand ICMP verkeer is toegestaan. Om ICMP goed te kunnen laten functioneren dient dezelfde regel aanwezig te zijn in de zogenoemde Input filters. Regel 6,6: Soms dient er toegang naar bepaalde ip-adressen te worden toegelaten om bepaalde websites te laten functioneren, dit is afhankelijk van de services van de ISP en wat u toelaat in het Internet verkeer.

Menu 11.5 - Remote Node Filter

Input Filter Sets:
  protocol filters= 7,8,9,10
  device filters=
Output Filter Sets:
  protocol filters= 5,6,11
  device filters=
Call Filter Sets:
  protocol filters= 1
  device filters=

Filter voorbeeld 4 (uitgaand verkeer)

Het nu volgende filter voorbeeld is uitgeklede variant van filtervoorbeeld 3.

                  Menu 21.5 - Filter Rules Summary

# A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=0, SA=10.0.0.140, DA=10.0.0.138                              N F N
 2 Y IP   Pr=47, SA=0.0.0.0, DA=0.0.0.0                                   N F N
 3 Y IP   Pr=17, SA=0.0.0.0, SP=68, DA=0.0.0.0, DP=67                     N F N
 4 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP=53                            N F N
 5 Y IP   Pr=1, SA=0.0.0.0, DA=0.0.0.0                                    N F N
 6 Y IP   Pr=17, SA=0.0.0.0, DA=0.0.0.0, DP=123                           N F N
 

             Menu 21.6 - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=25                             N F N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=443                            N F N
 3 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=110                            N F N
 4 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=80                             N F N
 5 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=20                             N F N
 6 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=21                             N F D
 

  
Menu 11.5 - Remote Node Filter

Input Filter Sets:
  protocol filters= 7,8,9,10
  device filters=
Output Filter Sets:
  protocol filters= 5,6
  device filters=
Call Filter Sets:
  protocol filters= 1
  device filters=

Kazaa en MSN blokkeren

Het blokkeren van een ZyXEL ZyWall router voor deze toepassingen wordt omschreven onder een ander document.
Om in een Zyxel router (Prestige) Kazaa en MSN te blokkeren handelt u als volgt:

Ga naar menu 21
Ga naar een (ongebruikte) filter set voor uitgaand verkeer.

Stel in:

  

                  Menu 21.X - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- -----------------------------------------------   - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1863             N D N
 2 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1214             N D N
 3 Y IP   Pr=0, SA=0.0.0.0, DA=64.0.0.0                     N D N <- subnetmasker 254.0.0.0
 4 Y IP   Pr=0, SA=0.0.0.0, DA=207.0.0.0                    N D F <- subnetmasker 255.0.0.0
 5 N
 6 N

En activeer deze filterset in Menu 11: 
  

Input Filter Sets:
  protocol filters= 7,8,9
  device filters=
Output Filter Sets:
  protocol filters= 5,6,11,X
  device filters=
Call Filter Sets:
  protocol filters= 1
  device filters=
 
Ga naar een (ongebruikte) filter set voor ingaande verkeer.
Stel in:
  

                  Menu 21.Y - Filter Rules Summary

 # A Type                       Filter Rules                              M m n
 - - ---- --------------------------------------------------------------- - - -
 1 Y IP   Pr=6, SA=0.0.0.0, DA=0.0.0.0, DP=1214                           N D F
 2 N
 3 N
 4 N
 5 N
 6 N

En activeer deze filterset:
Input Filter Sets:
  protocol filters= 7,8,9,10
  device filters=
Output Filter Sets:
  protocol filters= 5,6,11,X
  device filters=
Call Filter Sets:
  protocol filters= 1
  device filters=


Zie voor een lijst van poorten het overzicht onder:

Seriele toegang
Telnet
Veel gebruikte poorten
ZyNOS