Давно обратил внимание мониторинге трафика, что с подключенных к сети с IP-камер китайского производства исходит какой-то “непонятный” трафик по разным портам. Изучать не стал что за порты, какие айпи адреса, т.к. так и уже известно, что многие китайские айпи камеры могут работать по протоколу Р2Р и можно достаточно легко заполучить к ним доступ. Даже поисковике гугл можно сделать определенные запросы и отобразятся чуть ли не все камеры мира. И если не менялся логин и пароль от камеры, то можно даже их посмотреть. Меня данный факт крайне обеспокоил и поэтому при наличии роутера бы перекрываем “кислород” ИП камерам доступ далее нашей внутренней сети.
Приведу пример настройки фаервола(брандмауэра) для закрытия доступа по IP-камерам с помощью роутера, еще бы. Конечно же тоже самое можно сделать и с помощью простых роутеров типа Tplink, ASUS и прочее и, поэтому пишите в комментариях попробую помочь.
И так. Запускаем и Winbox и подключаемся к бы. Первым делом заходим в IP-адрес-DHCP-сервер и сервер убеждаемся, что айпи адреса камер на сервер DHCP сервере зарезервированы, либо известны их статические адреса
Для удобства и для дальнейшего удобства(простите за тавтологию) рекомендую использовать адресные листы. Поэтому создаём адресные листы наших айпи камер
Далее в адресные листы добавляем адрес локальной сети где находятся камеры. Если у вас две или более сети то соответственно их тоже добавляем. Это нужно, чтобы камеры были доступны внутри локальной сети
И теперь делаем правило в закладке правила фильтрации. Цепь – вперед
В закладке дополнительно делаем как указано ниже на скриншоте. Восклицательный знак обозначает “кроме”. Тоесть от камер любой трафик сможет ходить только в пределах локальной сети, указанный в адресном листе локальной сети
Далее в действие закладке указываем падение, то есть блокируем трафик с камер. Нажимаем ОК
Правило поднимаем выше дефолтных правил, у меня получилось это правило под номером 3
Не успел и моргнуть глазом как сработали счетчики данного правила 🙂 Камеры кстати рви и уже какие-то 3 пакета от них пытались улететь во всемирную паутину
И создаём ещё одно правило для тех у кого настроена синхронизация времени с каким-то НТП сервером. Зная постоянный айпи адрес сервера НТП можно в ДСТ. Указать адрес его айпи, чтобы уж совсем было всё секьюрно
В закладке дополнительно исходящий адресный лист указываем IP-камеру
Действие – разрешаем данный трафик
И правило с разрешением подключения к серверам НТП поднимаем выше предыдущего правила
Собственно говоря всё, задача решена. Теперь от камер будет блокироваться любой исходящий трафик в интернет.