En ocasiones puede interesarnos bloquear el acceso a Internet de todos o algunos de los dispositivos LAN conectados a nuestro router. En este artículo te explicamos cómo hacerlo modificando la configuración del firewall integrado en los routers Teltonika.
Para ello iremos al menú Network – Firewall – Traffic rules y bajaremos hasta encontrar la sección ‘Add New Forward Rule‘ donde crearemos una nueva regla de la siguiente forma:
- Configuramos un nombre ‘block_lan’ en nuestro caso.
- Configuramos ‘Source Zone’ como lan.
- Configuramos ‘Destination Zone’ como wan.
- Clicamos en ‘Add’.
A partir de aquí te mostramos cómo configurar esta regla para realizar diferentes funciones.
Bloqueo para todos los clientes LAN
En este caso bloqueamos el acceso a Internet de todos los dispositivos conectados a la LAN del router. Un ejemplo sería una instalación industrial donde ningún dispositivo tiene que enviar datos a la nube y donde el router se usa exclusivamente para permitir el acceso remoto a estos dispositivos por temas de mantenimiento.
En este caso basta configurar el Protocol como Any y el parámetro Action como Drop
Si más tarde quieres permitir el tráfico o revertir los cambios realizados basta con borrar la regla o simplemente deshabilitarla.
Bloqueo para uno varios clientes LAN
La configuración es idéntica al caso anterior pero en el campo Source address indicaremos la dirección IP a bloquear (192.168.1.100 en nuestro ejemplo).
También podemos indicar un rango de direcciones IP a través de su máscara. Por ejemplo, el valor 192.168.1.100/30 bloquearía el tráfico al rango de direcciones entre 192.168.1.100 y 192.168.1.103
Bloqueo específico a una dirección pública o red pública
En vez de limitar el acceso en función de los clientes LAN también podemos limitar el acceso no a todo Internet sino únicamente a un servidor o a una red de servidores.
Para ello configuraremos sus direcciones IP públicas en el campo Destination address.
Bloqueo de salida a Internet excepto a una dirección pública específica
Sería, por ejemplo, el caso de una instalación industrial donde queremos limitar el tráfico de salida a Internet únicamente a las aplicaciones cloud que deben recoger los datos o medidas enviadas por los PLCs o sensores de dicha instalación.
Para realizar esta configuración, debemos crear dos reglas: una primera que bloquee todo el tráfico de salida a Internet (primer ejemplo) y a continuación una segunda regla que permita sólo el acceso a determinadas direcciones IP en la WAN (1.1.1.1 y 2.2.2.2 en la siguiente captura).
El orden de las reglas es importante. En primer lugar (más arriba) deben aparecer las reglas de bloqueo (drop) y a continuación (más abajo) las reglas de paso (allow).
Bloqueo de sitios web o dominios específicos
Este es otro caso habitual donde queremos bloquear el acceso a diferentes sitios o dominios (contenidos sólo para adultos, webs de descargas, streaming o mensajería instantánea,…). En este caso no lo haremos a través del firewall sino a través del menú Services – Web Filter. Habilitaremos el servicio y lo configuraremos el modo en Blacklist. Si por el contrario sólo queremos permitir el acceso a uno o varios dominios podemos configurar el modo en Whitelist y especificar estos dominios permitidos.
Para ello clicamos en Browse y entramos uno a uno los dominios bloqueados (Blacklist) o permitidos (Whitelist). Debemos clicar en Add, escribir el dominio y luego Save & Apply para guardar cada vez los cambios.