- Как настроить роутер, чтобы блокировать загрузку подозрительных файлов по FTP
- Почему именно FTP?
- Что именно нужно блокировать?
- Как настроить роутер: пошаговая инструкция
- Что делать, если в роутере нет фильтра по расширениям файлов?
- Когда блокировать FTP полностью — а когда оставить?
- Частые ошибки, которые всё портят
- Как лучше сделать: практические рекомендации
- Что выбрать, если у вас разная ситуация?
- Итог: что делать прямо сейчас
Как настроить роутер, чтобы блокировать загрузку подозрительных файлов по FTP
Если вы заметили, что в вашей сети внезапно появляются странные файлы — .exe, .bat, .js, или что-то с подозрительными именами вроде “update_789.zip” — скорее всего, кто-то или что-то использует FTP-соединение, чтобы закачать вредоносное ПО. Это не редкость. Особенно если у вас есть домашние устройства, которые подключены к интернету: камеры, NAS, смарт-телевизоры, или просто старый компьютер, который всё ещё используется как «файл-сервер».
Роутер — это ваша первая и главная защита. Он не просто даёт доступ в интернет — он может и должен блокировать опасные действия до того, как они дойдут до ваших устройств. Настроить его на блокировку подозрительных FTP-загрузок — не сложнее, чем изменить пароль от Wi-Fi. Но многие делают это неправильно. Или вообще не делают.
Почему именно FTP?
FTP (File Transfer Protocol) — старый, но до сих пор используемый протокол для передачи файлов. Он не шифрует данные. Пароли, имена файлов, содержимое — всё идёт открытым текстом. Это делает его идеальным инструментом для злоумышленников: если кто-то взломал устройство в вашей сети (например, камеру с устаревшей прошивкой), он может использовать FTP, чтобы закачать вредоносный скрипт на другой компьютер, или загрузить туда бэкдор.
Вот реальный пример: у человека в доме стоит старый NAS с FTP-сервером, включённым по умолчанию. Пароль — «admin». Хакер сканирует интернет, находит этот NAS, заходит, загружает туда файл update.exe — и через пару минут этот файл начинает распространяться по другим устройствам в сети. Все они уже подключены к одному роутеру. И если роутер не блокирует FTP-трафик по подозрительным файлам — вы не узнаете, пока не начнёт тормозить интернет или не появится окно с требованием выкупа.
Что именно нужно блокировать?
Не весь FTP. Нет смысла блокировать загрузку PDF-файлов или документов. Проблема — в исполняемых файлах и скриптах. Вот что стоит блокировать:
- .exe — исполняемые файлы Windows
- .bat, .cmd — скрипты оболочки
- .js, .vbs — скрипты, которые могут запускать вредоносный код
- .dll — динамические библиотеки, часто используются для внедрения в процессы
- .ps1 — PowerShell-скрипты (очень популярны у современных вирусов)
- .zip, .rar — архивы, если внутри них есть вышеуказанные расширения (это сложнее, но можно частично решить)
Запомните: если вы не загружаете программы по FTP — вы не должны их получать. Ни от кого. Ни в каком виде.
Как настроить роутер: пошаговая инструкция
Все роутеры немного отличаются, но логика одинаковая. Вот как это сделать в большинстве случаев.
- Зайдите в интерфейс роутера. Откройте браузер, введите в адресную строку IP-адрес роутера — обычно это
192.168.1.1или192.168.0.1. Логин и пароль — те же, что и для Wi-Fi, или написаны на наклейке на корпусе. Если не помните — сбросьте роутер кнопкой Reset (но потом настройте всё заново). - Найдите раздел «Безопасность» или «Фильтрация». У разных брендов он называется по-разному: «Firewall», «Parental Controls», «Access Control», «Content Filtering». Ищите что-то про «блокировку по типу файла» или «фильтрацию трафика».
- Включите фильтрацию FTP-трафика. Если есть опция «Фильтрация по протоколу» — выберите FTP. Некоторые роутеры позволяют фильтровать только по портам — FTP работает на портах 21 (управление) и 20 (данные). Убедитесь, что фильтр применяется именно к FTP, а не ко всему трафику.
- Добавьте список запрещённых расширений. Здесь самое важное. В поле «Запрещённые расширения файлов» введите:
.exe,.bat,.cmd,.js,.vbs,.dll,.ps1. Разделители — запятые, без пробелов. Некоторые роутеры требуют точек в начале, другие — нет. Попробуйте оба варианта, если не работает. - Установите действие: «Блокировать». Не «предупреждать» — именно «блокировать». Иначе вредоносный файл просто попадёт в лог, а вы его не заметите.
- Примените настройки и перезагрузите роутер. После этого проверьте, что фильтр включён — в некоторых роутерах он отключается после перезагрузки, если не сохранён.
Если в вашем роутере нет такой функции — не расстраивайтесь. Есть обходные пути. Они чуть сложнее, но работают.
Что делать, если в роутере нет фильтра по расширениям файлов?
Многие бюджетные роутеры (TP-Link, D-Link, ASUS с базовой прошивкой) не умеют блокировать файлы по расширению. Но есть два рабочих варианта:
| Метод | Как работает | Плюсы | Минусы |
|---|---|---|---|
| Блокировка портов FTP (21, 20) | Отключает весь FTP-трафик в обе стороны | Просто, надёжно, работает на любом роутере | Блокирует и легитимный FTP — если у вас есть домашний сервер, он перестанет работать |
| Фильтрация по URL-адресам FTP-серверов | Блокируются известные вредоносные FTP-хосты (например, ftp://malware-site[.]com) | Не трогает легитимный FTP | Работает только против известных сайтов. Новые серверы не блокируются |
| Установка сторонней прошивки (DD-WRT, OpenWrt) | Заменяет родную прошивку на более гибкую | Полный контроль: можно блокировать по расширениям, типам файлов, даже по содержимому | Требует технических навыков. Может «убить» роутер, если сделать ошибку |
Если вы не технарь — выбирайте первый вариант: заблокируйте порты 20 и 21. Это не идеально, но если у вас нет FTP-сервера дома — вы ничего не потеряете. А риск заражения снизится на 90%.
Когда блокировать FTP полностью — а когда оставить?
Не все роутеры позволяют фильтровать файлы по расширениям. И не всем нужно это делать. Вот когда вы можете оставить FTP включённым:
- У вас есть локальный FTP-сервер (например, NAS) и вы используете его только внутри сети — без доступа из интернета.
- Вы регулярно загружаете файлы с внешнего FTP-сервера (например, с архива компании), и вы точно знаете, что это безопасно.
- У вас есть отдельный VLAN или изолированная сеть для FTP-устройств.
А вот когда FTP нужно блокировать полностью:
- Вы не используете FTP вообще — ни для чего.
- В вашей сети есть IoT-устройства (камеры, принтеры, умные розетки) — они часто уязвимы.
- Вы заметили подозрительные попытки подключения к FTP в логах роутера.
- У вас есть дети или пожилые родственники, которые могут случайно открыть вредоносный файл.
Если вы не уверены — лучше заблокировать. Это как поставить замок на дверь, даже если вы думаете, что «никто не полезет». Потому что кто-то может.
Частые ошибки, которые всё портят
Многие настраивают фильтр, но ничего не меняется. Вот почему:
- Забыли перезагрузить роутер. Некоторые настройки применяются только после перезагрузки. Не ждите, что изменения вступят в силу сразу.
- Писали расширения с пробелами. Например:
.exe , .bat— это не сработает. Только.exe,.bat. - Блокировали только входящий FTP, а забыли про исходящий. Вредоносное ПО может не загружать файлы — а выгружать их на сервер злоумышленника. Блокируйте оба направления.
- Полагались только на антивирус. Антивирус на компьютере не видит, что файл загружается через FTP — он срабатывает только после того, как файл уже скачан. Роутер останавливает это на этапе передачи — до того, как файл попадёт на устройство.
- Использовали «разрешить только определённые IP». Это не работает. Хакеры используют динамические IP, резервные серверы, прокси. Вы не сможете вручную заблокировать все.
Как лучше сделать: практические рекомендации
Вот что реально работает, если вы хотите защититься без лишних сложностей:
- Проверьте, включён ли FTP в вашей сети. Зайдите на любой компьютер, откройте командную строку и введите:
netstat -an | find "21". Если есть подключения — FTP работает. Если нет — вы можете его спокойно заблокировать. - Отключите FTP на всех устройствах. На NAS, камерах, принтерах — найдите настройки FTP и выключите его. Если устройство не требует FTP — оно его не должно использовать.
- Используйте SFTP или FTPS вместо FTP. Если вам действительно нужен FTP — переходите на зашифрованные версии. Они работают на порту 22 (SFTP) и не передают пароли открытым текстом. Но даже они не защищают от вредоносных файлов — просто делают взлом сложнее.
- Создайте отдельную сеть для IoT-устройств. Если ваш роутер поддерживает гостевую сеть — подключите камеры, принтеры и умные лампочки туда. Это изолирует их от основной сети. Даже если они заражены — вредоносный файл не попадёт на ваш ноутбук.
- Проверяйте логи роутера раз в неделю. Там часто пишутся попытки подключения к FTP. Если видите IP из Китая, России или Украины — и это не вы — это повод для тревоги.
Что выбрать, если у вас разная ситуация?
Ситуация 1: Вы — обычный пользователь, у вас есть Wi-Fi, но нет серверов.
→ Заблокируйте порты 20 и 21 в настройках роутера. Это займёт 3 минуты. Не нужно ничего другого.
Ситуация 2: У вас есть NAS, и вы используете FTP для резервного копирования.
→ Отключите FTP из интернета. Оставьте его только в локальной сети. В настройках роутера найдите «Фильтрация по IP» — разрешите доступ к FTP только с IP вашего компьютера (например, 192.168.1.10). Всё остальное — блокировать.
Ситуация 3: Вы технически подкованы и хотите максимальную защиту.
→ Установите DD-WRT или OpenWrt. Настройте фильтрацию по расширениям файлов + блокировку FTP-трафика из интернета. Добавьте правило, блокирующее загрузку файлов больше 10 МБ — большинство вредоносных скриптов меньше, а архивы с вирусами — часто больше.
Ситуация 4: У вас старый роутер 2015 года, и он вообще не умеет ничего.
→ Купите новый. За 2000–3000 рублей вы получите роутер с современной защитой: фильтрация по типам файлов, блокировка вредоносных доменов, родительский контроль. Это дешевле, чем восстанавливать систему после заражения.
Итог: что делать прямо сейчас
Вы не обязаны быть экспертом, чтобы защитить свою сеть от FTP-атак. Вот ваш чек-лист на сегодня:
- Зайдите в настройки роутера.
- Найдите раздел «Безопасность» или «Фильтрация».
- Если есть возможность — заблокируйте файлы с расширениями:
.exe,.bat,.cmd,.js,.vbs,.dll,.ps1по протоколу FTP. - Если такой опции нет — заблокируйте порты 20 и 21.
- Перезагрузите роутер.
- Проверьте, что FTP выключен на всех устройствах в доме (камеры, NAS, принтеры).
- Через неделю — зайдите в логи роутера и посмотрите, остались ли попытки подключения к FTP.
Это не сложнее, чем сменить пароль от Wi-Fi. Но это на порядок важнее. Потому что пароль от Wi-Fi можно взломать — а вредоносный файл, загруженный через FTP, может украсть ваши данные, зашифровать файлы или превратить ваш компьютер в часть ботнета.
Вы не защищаете «сеть». Вы защищаете свои фотографии, документы, аккаунты, деньги. И это стоит 10 минут вашего времени.
Информация в этой статье носит ознакомительный характер. Настройка роутера может отличаться в зависимости от модели и производителя. Если вы не уверены в действиях — обратитесь к специалисту по сетевой безопасности.
