Цитата adgeuk:
|
1) Может ли встроенный в рутер файрвол полностью заменить программный? »
|
Позволю себе не согласиться с уважаемым
Angry Demon. Межсетевой экран маршрутизатора в принципе не может обладать всеми теми же возможностями, что и экран ПК.
Простейший пример: блокировка отдельных пользователей или процессов. Межсетевой экран ПК может заблокировать доступ к сети на уровне процесса. Экран маршрутизатора этого сделать не может, поскольку не имеет информации о том, какой из процессов генерировал данный пакет.
В то же время, в реальной жизни достаточно часто возникает необходимость закрыть доступ к сети, допустим, какой-нибудь конкретной игре. При отсутствии локального брандмауэра Вам придется полностью отключать сеть на время игры.
Это одно соображение. Но есть и второе. Вы говорите, что Ваш межсетевой экран "прилично грузит процессор".
Прилично грузит сверхмощный (по сравнению с процессорами других устройств) процессор ПК! Как Вы считаете, возможно ли запустить аналогичную программу на слабеньком процессоре маршрутизатора?
Цитата adgeuk:
|
Можно ли с его помощью создавать правила для каждого отдельного компьютера домашней сети? »
|
Маршрутизатор различает компьютеры только по IP адресу их сетевых интерфейсов. Вы можете задавать правила для пакетов исходящих с конкретных IP. Если в Вашем локальном сегменте все адреса будут статическими, это и будет означать "создание правил для каждого отдельного компьютера домашней сети".
Цитата Angry Demon:
|
Блокировать все входящие соединения. »
|
Извиняюсь, но опять-таки не могу согласиться. Эта функция для маршрутизатора практически бесполезна.
Давайте рассмотрим три возможных варианта:
1. Пакет поступает на порт, для которого не выполнена "проброска" (forwarding) и которого нет в таблице NAT маршрутизатора. Тогда он будет адресован на сам маршрутизатор и, естественно, отброшен, поскольку маршрутизатор для самого себя входящих соединений не принимает. Если, конечно, не разрешен доступ к его web-интерфейсу из сети. Но надо быть идиотом, чтобы сначала разрешать маршрутизатору принимать внешние запросы, а потом закрывать эту возможность брандмауэром.
2. Попытка установить входящее соединение поступает на порт для которого есть запись в таблице трансляции адресов. Тогда она будет отвергнута в любом случае: если пакет приходит с IP не совпадающего с IP удаленного узла из таблицы, ситуация сводится к предыдущему пункту. Если пакет приходит с того IP и порта, которые есть в таблице NAT, это означает, что соединение уже было установлено ранее и пакет пересылается на указанный в этой таблице ip и порт узла локальной сети.
3. Если пакет приходит на порт для которого выполняется статическая переадресация на узел локальной сети, он пропускается и его судьбу дальше будет решать тот компьютер, на который его переадресовали.
В данной ситуации "блокировка входящих соединений" не требуется. Ведь порт именно для того и пробрасывают, чтобы дать возможность эти самые соединения устанавливать.
