Dir 100 firewall настройка
К сожалению, не нашёл раскрытой эту тему. В руководстве вообще всё написано без единого примера, и многое непонятно. Firewall rules в руководстве НЕ ОПИСАНЫ ВООБЩЕ!
Вопрос касается не только DIR-100, но и как минимум других устройств серии DIR (т.е. с аналогичным интерфейсом).
Если спрашиваю глупость - больно прошу не пинать.
===
Итак, имеется:
- DIR-100 в режиме роутера с НАТом;
- интернет (статический IP) входит в WAN и выходит через LAN1 (остальные не используются) *на свитч* (раздаётся по локальной сети в офисе), на выход всё работает корректно, на вход 80-й порт работает корректно, нареканий нет;
- DHCP отключен.
ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!
ПОЧЕМУ. Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?
Дома на DIR-400 (DHCP пока включен, хотя планирую отключить) форвардинг диапазона 50000-60000 получилось настроить с первого раза без проблем.
===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:
Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.
Что сделано:
- в Port forwarding настроен и включен форвардинг порта 3389 на компьютер, пусть, 192.168.0.2;
- в Firewall & DMZ настроены правила:
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
Для меня как программиста такое решение (ввиду полного отсутствия описания) показалось логичным.
Результат, наверное, очевиден для тех, кто (в отличие от меня) знает правила заполнения Firewall rules:
- машина 77.77.77.77 прекрасно подключается по 80 порту, но не может подключиться по 3389, и при сканировании портов - 3389 для машины 77.77.77.77 закрыт.
ВОПРОС: как правильно настроить Firewall для этого случая?
Прошу помочь настроить.
По-моему, вопросы по настройке Firewall'а должны быть очень популярными. Удивлён, что не вижу их прилепленными сверху форума.
Я не оптовик, но всё же лояльный покупатель, и надеюсь получить ответы НА ОБА вопроса.
ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!ПОЧЕМУ. Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?
Пример настройки перенаправления портов для FTP сервера на DIR-100:
В заводской прошивке (v2.00) порт на внешнем интерфейсе всегда совпадает с портом на внутреннем, если перенаправляется один порт то в обоих полях пишется один и тот же номер.
Насколько мне известно, в будущих версиях прошивки авторы обещают, что номер порта на внутреннем интерфейсе можно будет задавать.
===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:
Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.
Что сделано:
- в Port forwarding настроен и включен форвардинг порта 3389 на компьютер, пусть, 192.168.0.2;
- в Firewall & DMZ настроены правила:
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
Для меня как программиста такое решение (ввиду полного отсутствия описания) показалось логичным.
Результат, наверное, очевиден для тех, кто (в отличие от меня) знает правила заполнения Firewall rules:
- машина 77.77.77.77 прекрасно подключается по 80 порту, но не может подключиться по 3389, и при сканировании портов - 3389 для машины 77.77.77.77 закрыт.
ВОПРОС: как правильно настроить Firewall для этого случая?
Прошу помочь настроить.
По-моему, вопросы по настройке Firewall'а должны быть очень популярными. Удивлён, что не вижу их прилепленными сверху форума.
Я тоже искал ответ в документации, но не нашел.
Тут наверное следует вспомнить маршрутизатор DI-604 => в нем правила файрволла обрабатывались сверху вниз.
Если такая логика имеет место и в DIR-100, то понятно почему у тебя порт 3389 TCP закрыт - доступ блокируется 1 правилом, поскольку адрес 77.77.77.77 находится в диапазоне 1.1.1.1-254.254.254.254.
Возможное решение - поменять правила местами:
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:
1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр
Вопрос заключается в следующем: в каком порядке они срабатывают?
Если DIR-100 работает по аналогии с DI-604(?), то сначала срабатывает фильтрация по MAC адресам (Access Control), а затем? Сначала Parental Control, а затем Firewall & DMZ или наоборот? Кстати в ни в документации по DI-604 этот важный вопрос тоже рассматривается.
Предвосхищая возможные ответы, конечно можно проверить все это методом научного тыка. и заодно стать врагом №1, а также получить втык от начальства.
А я уже и рукой махнул на эту тему=)
ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!ПОЧЕМУ. Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?
В заводской прошивке (v2.00) порт на внешнем интерфейсе всегда совпадает с портом на внутреннем, если перенаправляется один порт то в обоих полях пишется один и тот же номер.
А если нужно пробросить диапазон портов? Помогает? Потому что эти недоступные поля выглядят очень подозрительно. Я, честно говоря, не очень могу проверить, для этого нужно несколько одновременных подключений с разных адресов, я это в пору всеобщих отпусков устроить не могу.
Насколько мне известно, в будущих версиях прошивки авторы обещают, что номер порта на внутреннем интерфейсе можно будет задавать.
Ммм. более того, я даже видел на форуме ссылку на такую бета-прошивку, она называется dir100_v201_en_b5.bin.
Однако мне порт-маппинг не нужен, а перепрошивка без причины, так сказать - признак дурачины. Мне просто нужно пробросить диапазон портов, а не один. А диапазон "5000-5000" напротив локального адреса меня несколько смущает.
===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:
Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.
[. some text skipped. ]
ВОПРОС: как правильно настроить Firewall для этого случая?
Я тоже искал ответ в документации, но не нашел.
Тут наверное следует вспомнить маршрутизатор DI-604 => в нем правила файрволла обрабатывались сверху вниз.
Absolutely!
Покрутив разные варианты, я своего добился.
Неудобство этого подхода в том, что если поставить общее правило слишком рано - при непредусмотренно добавлении новых исключений прийдётся его вручную постепенно сдвигать ниже и ниже.
Я ожидал, что роутер во всех случаях проверяет _все_ правила по очереди, а не спотыкается о первое подходящее. Завершить проверку легче всего, а в хорошей манере кодирования - подумать о пользователе.
Если такая логика имеет место и в DIR-100, то понятно почему у тебя порт 3389 TCP закрыт - доступ блокируется 1 правилом, поскольку адрес 77.77.77.77 находится в диапазоне 1.1.1.1-254.254.254.254.
Возможное решение - поменять правила местами:
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
Да-да, это помогло.
А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:
1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр
В роутере D-Link DIR-100 существуют несколько функция, которые я сегодня опишу.
Функция Enable DoS Prevention включается в меню FIREWALL & DMZ — FIREWALL SETTING.
Enable DoS Prevention — это функция защиты от DDoS атак. Поскольку роутер домашний и атаки вряд ли страшны, лучше эту функцию отключить. Так как она может снизить пропускную способность канала, как локального, так и интернетного, приняв нормальный трафик за атаку и заблокировав его.
Функция DMZ (от англ. demilitarized zone) — Демилитаризованная зона. Технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в DMZ.
В нашем случае это просто-напросто прямой доступ из интернета к определенной машине в сети. Например веб-сервер у вас дома. Для того чтобы его было видно из интернета, необходимо пробросить 80 порт в меню PORT FORWARDING. DMZ делает практически то же самое, но с абсолютно всем трафиком и по всем портам.
Примечание: Если включен DMZ, то PORT FORWARDING не работает.
Комментарии
у нас два разных подключеня кнету два роутера dir100 хотим объеденить их в сеть идёт конфликт как на одном порте отключить нет но оставить локалкалку напишите на мыло зарание спасбо
напишите пожалуйста, как можно заблокировать доступ к серверам сетевой игры контр-страйк, через родительский контроль, или есть иные пути! заранее спасибо!
The following ports must be open in your firewall and router for Steam and Steam Games to work:
UDP 1200 (used for friends service)
UDP 27000 to 27015 inclusive
TCP 27020 to 27039 inclusive
TCP 27040 and 27041 only for CyberCafe Owners
Computers running Dedicated Servers need these ports open:
UDP: 27015 and 27020 (default HLDS, SRCDS and HLTV port)
TCP: 27015 (SRCDS Rcon port)
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Добрый день.
Имею следующую конфигурацию:
сеть 10 и 30 друг друга видят.
Нужно:
с компьютера 10.10 попасть по RDP на компьютер 0.2
с компьютера 30.2 попасть по SMTP, POP3 на компьютер 0.2
что сделал:
и
RDP и POP3 работают, а вот SMTP - нет. пишет вот такую штуку:
Я так понимаю, что это отвечает шлюз.
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100?
Спасибо.
-------
Вежливый клиент всегда прав!
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100? » |
оказалось, я ещё не до конца настроил Exchange 2010, установленный на 0.2
-------
Вежливый клиент всегда прав!
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет.
ИО Капитана Очевидности
Глупый вопрос - а в какую сторону NAT работает ? (какой порт у него внешний, а какой - внутренний)
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет. » |
Скорее всего дело в этом.
По-умолчанию SMTP-сервера крайне разборчивы в плане подключений, дабы все подряд их для рассылки спама не использовали. Возможно в этом разрешено только localhost и (маловероятно) подсеть 192.168.0.x , а остальные получают отлуп
-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)
Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Добрый день.
Имею следующую конфигурацию:
сеть 10 и 30 друг друга видят.
Нужно:
с компьютера 10.10 попасть по RDP на компьютер 0.2
с компьютера 30.2 попасть по SMTP, POP3 на компьютер 0.2
что сделал:
и
RDP и POP3 работают, а вот SMTP - нет. пишет вот такую штуку:
Я так понимаю, что это отвечает шлюз.
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100?
Спасибо.
-------
Вежливый клиент всегда прав!
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100? » |
оказалось, я ещё не до конца настроил Exchange 2010, установленный на 0.2
-------
Вежливый клиент всегда прав!
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет.
ИО Капитана Очевидности
Глупый вопрос - а в какую сторону NAT работает ? (какой порт у него внешний, а какой - внутренний)
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет. » |
Скорее всего дело в этом.
По-умолчанию SMTP-сервера крайне разборчивы в плане подключений, дабы все подряд их для рассылки спама не использовали. Возможно в этом разрешено только localhost и (маловероятно) подсеть 192.168.0.x , а остальные получают отлуп
-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)
Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Добрый день.
Имею следующую конфигурацию:
сеть 10 и 30 друг друга видят.
Нужно:
с компьютера 10.10 попасть по RDP на компьютер 0.2
с компьютера 30.2 попасть по SMTP, POP3 на компьютер 0.2
что сделал:
и
RDP и POP3 работают, а вот SMTP - нет. пишет вот такую штуку:
Я так понимаю, что это отвечает шлюз.
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100?
Спасибо.
-------
Вежливый клиент всегда прав!
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
Процессор: I7 10700 | |
Материнская плата: Asus h470-plus | |
Память: Hyper 32 GB | |
HDD: Crucial ct1000 | |
Видеокарта: Gigabyte GeForce rtx 260 | |
Блок питания: Thermaltake smart 650 w | |
Монитор: Samsung U32J592UQU | |
Ноутбук/нетбук: Lenovo T420s | |
ОС: W10 x64 |
Собственно, как правильно пробросить 25 порт на шлюзе DIR-100? » |
оказалось, я ещё не до конца настроил Exchange 2010, установленный на 0.2
-------
Вежливый клиент всегда прав!
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет.
ИО Капитана Очевидности
Глупый вопрос - а в какую сторону NAT работает ? (какой порт у него внешний, а какой - внутренний)
Потому что скорее всего было настроено разрешение доступа с локального хоста, а с подсети 192.168.30.0 нет. » |
Скорее всего дело в этом.
По-умолчанию SMTP-сервера крайне разборчивы в плане подключений, дабы все подряд их для рассылки спама не использовали. Возможно в этом разрешено только localhost и (маловероятно) подсеть 192.168.0.x , а остальные получают отлуп
-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)
Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.
Читайте также: