any фигурирует в примерах из документации, поэтому повторял так же.
Сейчас переделал на отдельные интерфейсы.

Спасибо, добавил два правила и все заработало - теперь сервисы доступны как снаружи, так и изнутри.

Вот что получилось:


Разобрался так же как "включить" антивирус - нужно добавить правило с преднастроенными сервисами, которые в свою очередь содержат нужные ALG.
Начинаю понемногу понимать эту железку

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Следуйте логике работы файерволла, и тогда будет проще. Отправляя пакет из LAN, DFL снова заворачивает его туда, откуда он пришел. Получается, допустим, 192.168.0.2:12345 --> 192.168.0.2:80 А сервер начинает отвечать на 127.0.0.1, т.к. адреса на одной сетевухе. Чтобы этого не было, надо для пакетов из LAN делать вместо Allow -- NAT. Т.е. между правилом SAT и Allow надо поставить NAT lan/lannet-->Core/all-nets http-all. Тогда NAT сработает первым, если пакет из локалки. А для других пробросов задействуется Allow. Если бы мануал прочитали, все стало бы понятно. Вы читали доки по программированию, когда изучали языки. Здесь так же.

Здесь надо смотреть, что и как настроено. У других-то такого не бывает. Тут, знаете, сколько раз мы слышали, что что-то не работает, а потом выяснялось, что сами накосячили где-то.

Антивирус работает на тех правилах, где он включен. И не факт, что а) комп действительно нашел вирус, это могло быть ложное срабатывание б) не факт, что DFL найдет все вирусы. Сигнатуры обновляются, но вирусописатели пишут быстрее в) не факт, что правильно настроили правила. Может, у вас all_services выше чем http-all. Много нюансов, чтобы сразу вот так на слово все согласились с выводами.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Мануал читаю понемногу, только он здоровый и на вражестком языке
Логику постепенно начинаю понимать уже.
Все что было настроено на DIR уже перенесено на DFL + настроена защита http, pop3 и smtp.
Впереди настройка VPN сервера для удаленного доступа к сети.

Сегодня не получилось установить VPN соединение с компьютера на удаленный сервер - быстренько нашел нужный сервис, добавил его в правила и вуаля, заработало.

Мне кажется, что поддержке D-Link нужно написать не очередной пример настройки какой-то задачи, когда люди повторяют не задумываясь, а статейку принципа работы маршрутизатора, зачем какие обьекты нужны и как они взаимодействуют. Кратко, но понятно и на русском

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Специалисты по работе с сетевым оборудованием знают технический английский. Я бы русский мануал даже читать не стал, ибо переводчик может неправильно интерпретировать термины.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Странно, зачем тогда нужны русские FAQ на сайте и ftp, примеры настроек, русская прошивка и русскоязычный форум... ?!

Лично я технический английский знаю, но для чтения 552 страниц полного мануала понадобиться приличное время, которого у меня нет.
DFL серия не является чисто профессиональным оборудованием и младшие модели подходят для продвинутых пользователей.
А если бы устройство было бы еще ближе и мануал более понятен, то такое оборудование было бы еще более популярно, т.к. скорости подключения к интернету растут, а бюджетные модели не справляются с нагрузкой. Причем многие отвечают, что серия DFL одна из самых стабильных из маршрутизаторов компании D-Link.

Я вот свою DFL-ку ездил покупать на другой конец города. Заехал на Савеловский компьютерный рынок, спрашивал везде - ни у кого нет, были когда-то, но больше не привозят.
Думаю, что после возвратов "покупателей" продавать такую железку просто не выгодно.

Лично мне нравиться продукция D-Link, ее соотношение цена/качество, но все-таки хотелось чуть-чуть больше возможностей сэкономить времени на настройке.
Мне, как программисту, показалось, что в устройстве очень мало так называемых "Мастеров". Только один начальной настройки.
Многие действия можно было бы делать гораздо быстрее, если бы был мастер (подключения, проброски портов, настройки управления трафиком, статического DHCP и т.п.)

Например, простейшая операция - присвоения статического IP, выдаваемого DHCP сервером.
Если на DIR нужно подключиться, а далее выбрав компьютер в пару кликов добавить его mac и ip, то тут нужно зайти в монитор DHCP сервера, скопировать mac подключенного устройства, завести отдельно в адресной книги, потом забить туда же выданный ip, после чего только задать соответствие одного другому.
Было бы хорошо, если бы часть рутинной работы сделала бы железка сама.

Но думаю, что многие не согласятся т.к. со временем освоив устройство и выполнив все первоначальные рутинные настройки, уже кажется, что всего этого не нужно.

Но при этом - устройство действительно очень гибкое и надежное.
Web интерфейс просто радует и после него winbox у микролинка кажется поделкой школьника (в плане удобства и наглядности).

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

А для того, чтобы те, кто не читает мануалы, смогли быстро найти ответы на свои вопросы. Я-то про идеальную модель поведения написал. Ну форум русскоязычный для обмена мнениями и техническими вопросами.

Да простят меня сотрудники компании, но стабильность в данном случае заслуга другой компании, под лицензией которой Д-Линк продает свои DFL. От Д-Линка тут только название и дизайн корпуса

Провал поставщиков. Весной такое уже было, когда я надумал 860E покупать. Ни у кого не было. Потом разом у всей Москвы. Но я сейчас вижу 260E в магазинах и ехать никуда не надо.

Тогда придется писать огромный скрипт, который будет задавать кучу вопросов, учитывая все нюансы. И вместо простого и понятного поля Source Interface будет окошко "Скажите, а с каком интерфейса у вас будет приходить пакет". Так что ли? Уверяю Вас, что в этом случае найдутся те, которые попросят добавить справку с описанием, что такое "интерфейс" и что значит "приходить". На всех не угодишь. Да и подобные вещи занимают память и работу встроеного веб-сервера. Настроив одно правило, у вас не будет больше вопросов касательно того, как настроить десяток проброса других портов. Да, и кстати, мануал необязательно весь читать, две страницы с примером, как пробросить порт, вполне достаточно.

А кто заставляет создавать объекты в записной книжке? Можно и вручную вбивать.
А теперь другая ситуация. У вас 50 адресов. В DIR'е вы видите эти связки. Понять кто и где невозможно. А если поменялся MAC-адрес сетевухи, то в DFL достаточно изменить объект, не заморачиваясь, где и что прописано. Например, IP-адрес, который возможно участвует в десятках правил маршрутизации и доступа. Представляю, какая это работа будет для DIR'а. А в DFL это два клика.

А я бы не отказался от локальной програмы а-ля winbox для управления DFL Не надо кучу HTMLок грузить с картинками с DFLа. А уж мониторинг трафика, проходящего через правила, вообще шикарен.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Осмелюсь задать еще несколько вопросов:

1. Как реализовать фильтрацию доступа на основе MAC адреса?
Конкретно у меня есть DIR-300, переведенный в режим точки доступа, не умеет фильтровать подключения по MAC (функция не активна), когда DAP-1360 умеет.
Еще сценарий использования - надо запретить подключения гостевых ноутбуков по lan для доступа в сеть.

2. В настройках оповещения через SMTP сервер нет параметров авторизации пользователя - т.е. использовать обычный почтовый ящик на mail.ru для отправки сообщений нельзя?

3. IDP используется только для защиты внешних атак на локальную сеть или может мониторить http трафик на наличие червей?
В примере из мануала только защита почтового сервера.
По аналогии настроил пока защиту своего FTP сервера (правда не совсем пока понял что ставить в Destination - lan и ftp_ip, где находиться реально сервер, или core и public_ip, куда стучатся внешние клиенты из Интернета).

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Советуют сделать статическую связку запретного МАКа с IP, которому правила запрещают доступ куда-либо.

Нельзя. Я тоже задавал этот вопрос. Мне саппорт сказал, что подразумевается, что в организации есть свой почтовый сервер. Глупость имхо.

Не знаю, ибо не использую и не изучал за ненадобностью. Подписка недешевая, а эффективность в сравнении с софтовым решением под вопросом.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Так ведь все наоборот - известны только хорошие MAC адреса, а запретные - все остальные.
Еще нужно проверять как поведет себя система в случае, если "злоумышленник" напрямую пропишет себе IP адрес, не воспользовавшись получением по DHCP.

Вообще для меня пока очень странно видеть, что в железке такого уровня нет простейшей функции фильтрации подключений по MAC адресу.
Хотя в DIR-300 и DAP-1360 функционал присутствует.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Погодите, кому известны? И почему все отслаьные запретные? Указание связки для DHCP сервера является лишь нюансом для некоторых IP. Но отсутствие в этом списке других адресов не означает запрет доступа. Запрет может быть сделать только правилами IP Rules. Вот и надо сделать запретное правило для выдуманных адресов. А потом запретные МАКи привязать к запретным IP. Но если у вас гостевая сетка, к которой подключаются заранее неизвестные МАКи, то надо менять схему.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, хочу включить доп. защиту домашней сети от любителей халявного интернета и на безопасность только Wi-Fi не надеюсь.
Соответственно хочется прописать в базе все известные mac адреса (компьютеры, телефоны, ip камеры) и только им дать доступ. Именно так было на DIR-300.
Но понимаю, что тут такого прямого функционала нет.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Откажитесь от DHCP и пропишите статику. А вообще точка доступа должна поддерживать фильтрацию.
И зря думаете, что сломать защиту WiFi так просто. Те, кто это может сделать, без проблем узнает МАК/IP вашего ПК и будет качать, пока ПК выключен будет. А эта защита по МАКам примерно как после железной двери дополнительно поставить табличку "Не входить".
И я вообще не понимаю, кто в Москве будет искать возможность покачать нахаляву, когда у всех дома есть Инет, причем у каждого третьего - два канала. Зачем вы им нужны, когда есть бесплатные хот-споты? Не занимайтесь паранойей, никому это не надо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

DAP-1360 поддерживает, а вот DIR-300 в режиме точки доступа не поддерживает (перестарались с отключением функций).

Понятное дело, что обойдусь без этого.
Также как и без оповещения по электронке (хотя, блин, DAP-1360 поддерживает авторизацию на SMTP сервере).

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

А какого оповещения хотелось бы? В DFL есть трапы, можно на сислог сливать. Но это требует запущенных где-то сервисов.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Привожу настройки своего DFL - может кому поможет.

http://kompfirma.narod.ru/DFL.pdf

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)