D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL-860E DMZ

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 4 из 5

[ Сообщений: 69 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

YuriAM

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 10:47

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Я бы даже произнес сакраментальное "Не верю!".

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 11:46

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

YuriAM писал(а):

Не используйте в IP-правилах и Routing-правилах сочетание any/all-nets нигде, кроме временных, тестовых правил.
Поскольку это чревато потенциальными брешами в правах доступа, а также несрабатыванием нижележащих правил.

используйте конкретные указания типа
lan/lannet
wan/all-nets
core/wan_ip
а также группы интерфейсов или адресов, если необходимо.

IP прикручивайте по этой инструкции. Она единственно правильная, к сожалению. После чего порты пробрасывайте как обычно, на core/wan-ip
http://forum.dlink.ru/viewtopic.php?f=3&t=114002

Воспользовался вашей ссылкой на инструкцию, где маршруты загнали на core. Спасибо, помогло. Была проблема с тем, что работал только один белый ип, поднял метрику до 1 для двух белых ип, заработали вроде как оба. Вопрос в следующем, в мануле говорилось ставить метрику 0, но щас погуглил и написано, что метрика ставится от 1 и выше. кто прав ?

Вернуться наверх

YuriAM

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 12:00

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Я не пробовал, но уверен, что будет работать с любой метрикой: хоть 0, хоть 1, хоть 237 (или какая там максимальная?).
На мой взгляд, лучше ставить метрику 0, поскольку такие же используются самим DFL, и чтобы дополнительно подчеркнуть, что эти адреса ничем не отличаются от других адресов на ядре (core).

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 16:28

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

YuriAM писал(а):

Дак вроде сам DFL использует 100 метрику. Ранее выкладывал скриншот раздела rout

Вернуться наверх

YuriAM

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 17:00

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Для адресов на ядре метрика 0, но если вам 100 милее по каким-то причинам, кто я такой, чтобы вам кайф ломать?

Вложения:

DFL-routes_mark.png [ 45.35 KiB | Просмотров: 5756 ]

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 19:05

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

YuriAM писал(а):

Для адресов на ядре метрика 0, но если вам 100 милее по каким-то причинам, кто я такой, чтобы вам кайф ломать?

Перетащил их наверх и с нулевой метрикой заработали.

Вроде всё основное заработало, со всеми IP. Завтра будет глобальный тест.
Остался только один вопрос, это сайт внутри сети DMZ, не открывается он из сети DMZ и LAN по внешнему IP, только по внутреннему.
Как правильно настроить NATLoopback
lan 10.10.0.0/24
dmz 10.10.10.0/24
wanWEB 178.47.000.002

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 19:37

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Имеете внешние адреса:
Public_IP_1
Public_IP_2 = 178.47.0.2

Имеете в сети DMZ некий сервер:
SRV2_ip = 10.10.10.102

Например, хотим на него попадать по адресу Public_IP_2

Подразумеваются разрешения между LAN и DMZ типа:
Allow lan/lannet dmz/dmznet Service=http-all и еще какие-то... или вообще all_services для теста

SAT lan/lannet wan1/Public_IP_2 Service=http-all (SAT -> SRV2_ip)
Allow lan/lannet wan1/Public_IP_2 Service=http-all

SAT dmz/dmznet wan1/Public_IP_2 Service=http-all (SAT -> SRV2_ip)
Allow dmz/dmznet wan1/Public_IP_2 Service=http-all

NAT dmz/SRV2_ip wan1/all-nets Service= выбираете какие сервисы (Specify sender address = Public_IP_2 )

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Чт апр 13, 2017 20:39

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Хм... Единственное...
возможно для LAN придется сделать:

SAT lan/lannet wan1/Public_IP_2 Service=http-all (SAT -> SRV2_ip)
NAT lan/lannet wan1/Public_IP_2 Service=http-all

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пт апр 14, 2017 08:07

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

Ребята, всем больше СПАСИБО, что помогли, а не послали. Теперь картина более менее ясна и всё работает. Осталось более точно настроить правила и при этом не сломать имеющиеся

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пн апр 17, 2017 17:35

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

Добрый день. Что-то не получается у меня пробиться из DMZ на public 2ip
Правило sat dmz/dmznet wan/public2ip sat-srv2
allow dmz/dmznet wan/public2ip
all_service

так же есть правило dmz/dmznet wan/all-nets

Так же не пробрасывается порт из wan_public1ip на lan

Код:

2017-04-17
19:40:17   Warning   RULE
6000051   Default_Rule   TCP   dmz   10.10.10.3
178.47.0.2   55977
80   ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1

2017-04-17
19:40:17   Notice   TCP_FLAG
3300004   TCPECN   TCP   dmz   10.10.10.3
178.47.0.2   55977
80   tcp_flag_set
strip_flag
bad_flag=ECN ipdatalen=32 tcphdrlen=32 syn=1 ece=1 cwr=1


2017-04-17
19:40:17   Warning   RULE
6000051   Default_Rule   TCP   dmz   10.10.10.3
178.47.0.2      55976
80   ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1


2017-04-17
19:40:17   Notice   TCP_FLAG
3300004   TCPECN   TCP   dmz   10.10.10.3
178.47.0.2   55976
80   tcp_flag_set
strip_flag
bad_flag=ECN ipdatalen=32 tcphdrlen=32 syn=1 ece=1 cwr=1 

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пн апр 17, 2017 17:44

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Показывайте скриншоты

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пн апр 17, 2017 17:54

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

MTRX писал(а):

Показывайте скриншоты

178.47.0.2 - Wan_public_ip204

Вложения:

rul3.png [ 18.4 KiB | Просмотров: 5702 ]

rul2.png [ 41.25 KiB | Просмотров: 5702 ]

rul.png [ 80.68 KiB | Просмотров: 5702 ]

Последний раз редактировалось Permyak Пн апр 17, 2017 17:58, всего редактировалось 1 раз.

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пн апр 17, 2017 17:55

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

и роут

Вложения:

rul4.png [ 35.76 KiB | Просмотров: 5702 ]

Вернуться наверх

MTRX

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Пн апр 17, 2017 22:29

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

1,2 роут неправильно
5-14 правило некорректно. Я вроде писал Вам правила без кора.
Некорректно, потому что для коре акту когда 1 внешний адрес. Без коре - когда более.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

Permyak

Заголовок сообщения: Re: DFL-860E DMZ

Добавлено: Вт апр 18, 2017 07:45

Зарегистрирован: Чт мар 31, 2011 22:19
Сообщений: 64

YuriAM писал(а):

IP прикручивайте по этой инструкции. Она единственно правильная, к сожалению. После чего порты пробрасывайте как обычно, на core/wan-ip
http://forum.dlink.ru/viewtopic.php?f=3&t=114002

Делал по этой инструкции.

Расхождения в ответах, запутался теперь. Как же всё таки делать ?

Вернуться наверх

Страница 4 из 5

[ Сообщений: 69 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 36

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения