En ocasiones puede interesarnos bloquear el acceso a Internet de todos o algunos de los dispositivos LAN conectados a nuestro router. En este artículo te explicamos cómo hacerlo modificando la configuración del firewall integrado en los routers Teltonika.
- Bloqueo para todos los clientes LAN
- Bloqueo para uno varios clientes LAN
- Bloqueo específico a una dirección pública o red pública
- Bloqueo de salida a Internet excepto a una dirección pública específica
- Bloqueo de sitios web o dominios específicos
Para ello iremos al menú Network – Firewall – Traffic rules y bajaremos hasta encontrar la sección ‘Add New Forward Rule‘ donde crearemos una nueva regla de la siguiente forma:
- Configuramos un nombre ‘block_lan’ en nuestro caso.
- Configuramos ‘Source Zone’ como lan.
- Configuramos ‘Destination Zone’ como wan.
- Clicamos en ‘Add’.
A partir de aquí te mostramos cómo configurar esta regla para realizar diferentes funciones.
Bloqueo para todos los clientes LAN
En este caso bloqueamos el acceso a Internet de todos los dispositivos conectados a la LAN del router. Un ejemplo sería una instalación industrial donde ningún dispositivo tiene que enviar datos a la nube y donde el router se usa exclusivamente para permitir el acceso remoto a estos dispositivos por temas de mantenimiento.
En este caso basta configurar el Protocol como Any y el parámetro Action como Drop
Si más tarde quieres permitir el tráfico o revertir los cambios realizados basta con borrar la regla o simplemente deshabilitarla.
Bloqueo para uno varios clientes LAN
La configuración es idéntica al caso anterior pero en el campo Source address indicaremos la dirección IP a bloquear (192.168.1.100 en nuestro ejemplo).
También podemos indicar un rango de direcciones IP a través de su máscara. Por ejemplo, el valor 192.168.1.100/30 bloquearía el tráfico al rango de direcciones entre 192.168.1.100 y 192.168.1.103
Bloqueo específico a una dirección pública o red pública
En vez de limitar el acceso en función de los clientes LAN también podemos limitar el acceso no a todo Internet sino únicamente a un servidor o a una red de servidores.
Para ello configuraremos sus direcciones IP públicas en el campo Destination address.
Bloqueo de salida a Internet excepto a una dirección pública específica
Sería, por ejemplo, el caso de una instalación industrial donde queremos limitar el tráfico de salida a Internet únicamente a las aplicaciones cloud que deben recoger los datos o medidas enviadas por los PLCs o sensores de dicha instalación.
Para realizar esta configuración, debemos crear dos reglas: una primera que bloquee todo el tráfico de salida a Internet (primer ejemplo) y a continuación una segunda regla que permita sólo el acceso a determinadas direcciones IP en la WAN (1.1.1.1 y 2.2.2.2 en la siguiente captura).
El orden de las reglas es importante. El router va ejecutando las reglas empezando por la primera. Cuando un paquete encaja en un regla, el router deja de contrastar las siguientes reglas. Por tanto, en nuestro ejemplo, primero colocaremos la regla más específica que en este caso es la que permite la salida hacia una IP en concreto y luego colocaremos la menos específica que bloquea el tráfico para todas las direcciones. Cuando un paquete de salida tiene como destino la IP de la primera regla, el router ya no mira ninguna regla más, se ejecuta sólo esta regla que permite el paso del paquete.
Bloqueo de sitios web o dominios específicos
Este es otro caso habitual donde queremos bloquear el acceso a diferentes sitios o dominios (contenidos sólo para adultos, webs de descargas, streaming o mensajería instantánea,…). En este caso no lo haremos a través del firewall sino a través del menú Services – Web Filter. Habilitaremos el servicio y lo configuraremos el modo en Blacklist. Si por el contrario sólo queremos permitir el acceso a uno o varios dominios podemos configurar el modo en Whitelist y especificar estos dominios permitidos.
Para ello clicamos en Browse y entramos uno a uno los dominios bloqueados (Blacklist) o permitidos (Whitelist). Debemos clicar en Add, escribir el dominio y luego Save & Apply para guardar cada vez los cambios.