faq обучение настройка
Текущее время: Чт мар 28, 2024 17:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Ср июл 02, 2008 01:22 
Не в сети

Зарегистрирован: Вт июн 24, 2008 22:33
Сообщений: 10
Откуда: Kiev, Ukraine
К сожалению, не нашёл раскрытой эту тему. В руководстве вообще всё написано без единого примера, и многое непонятно. Firewall rules в руководстве НЕ ОПИСАНЫ ВООБЩЕ!
Вопрос касается не только DIR-100, но и как минимум других устройств серии DIR (т.е. с аналогичным интерфейсом).
Если спрашиваю глупость - больно прошу не пинать.
===

Итак, имеется:
- DIR-100 в режиме роутера с НАТом;
- интернет (статический IP) входит в WAN и выходит через LAN1 (остальные не используются) *на свитч* (раздаётся по локальной сети в офисе), на выход всё работает корректно, на вход 80-й порт работает корректно, нареканий нет;
- DHCP отключен.

ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!
ПОЧЕМУ??? Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?

Дома на DIR-400 (DHCP пока включен, хотя планирую отключить) форвардинг диапазона 50000-60000 получилось настроить с первого раза без проблем.

===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:

Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.

Что сделано:
- в Port forwarding настроен и включен форвардинг порта 3389 на компьютер, пусть, 192.168.0.2;
- в Firewall & DMZ настроены правила:
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
Для меня как программиста такое решение (ввиду полного отсутствия описания) показалось логичным.

Результат, наверное, очевиден для тех, кто (в отличие от меня) знает правила заполнения Firewall rules:
- машина 77.77.77.77 прекрасно подключается по 80 порту, но не может подключиться по 3389, и при сканировании портов - 3389 для машины 77.77.77.77 закрыт.

ВОПРОС: как правильно настроить Firewall для этого случая?

Прошу помочь настроить.
По-моему, вопросы по настройке Firewall'а должны быть очень популярными. Удивлён, что не вижу их прилепленными сверху форума.

Я не оптовик, но всё же лояльный покупатель, и надеюсь получить ответы НА ОБА вопроса.

_________________
//Mi


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб июл 05, 2008 20:01 
Не в сети

Зарегистрирован: Вт сен 25, 2007 19:19
Сообщений: 21
Откуда: Барнаул
Mixoil писал(а):
ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!ПОЧЕМУ??? Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?


Пример настройки перенаправления портов для FTP сервера на DIR-100:

Изображение

В заводской прошивке (v2.00) порт на внешнем интерфейсе всегда совпадает с портом на внутреннем, если перенаправляется один порт то в обоих полях пишется один и тот же номер.

Насколько мне известно, в будущих версиях прошивки авторы обещают, что номер порта на внутреннем интерфейсе можно будет задавать.

Mixoil писал(а):
===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:

Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.

Что сделано:
- в Port forwarding настроен и включен форвардинг порта 3389 на компьютер, пусть, 192.168.0.2;
- в Firewall & DMZ настроены правила:
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
Для меня как программиста такое решение (ввиду полного отсутствия описания) показалось логичным.

Результат, наверное, очевиден для тех, кто (в отличие от меня) знает правила заполнения Firewall rules:
- машина 77.77.77.77 прекрасно подключается по 80 порту, но не может подключиться по 3389, и при сканировании портов - 3389 для машины 77.77.77.77 закрыт.

ВОПРОС: как правильно настроить Firewall для этого случая?

Прошу помочь настроить.
По-моему, вопросы по настройке Firewall'а должны быть очень популярными. Удивлён, что не вижу их прилепленными сверху форума.


Я тоже искал ответ в документации, но не нашел...
Тут наверное следует вспомнить маршрутизатор DI-604 => в нем правила файрволла обрабатывались сверху вниз...

Если такая логика имеет место и в DIR-100, то понятно почему у тебя порт 3389 TCP закрыт - доступ блокируется 1 правилом, поскольку адрес 77.77.77.77 находится в диапазоне 1.1.1.1-254.254.254.254.

Возможное решение - поменять правила местами:
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,

А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:

1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр

Вопрос заключается в следующем: в каком порядке они срабатывают?

Если DIR-100 работает по аналогии с DI-604(?), то сначала срабатывает фильтрация по MAC адресам (Access Control), а затем? Сначала Parental Control, а затем Firewall & DMZ или наоборот? Кстати в ни в документации по DI-604 этот важный вопрос тоже рассматривается.

Сразу же возникает вопрос: допустим я заблокировал доступ на ya.ru c помощью Parental Control, а можно ли будет загрузить это сайт зная его IP адрес, т.е. http://213.180.204.8

Предвосхищая возможные ответы, конечно можно проверить все это методом научного тыка... и заодно стать врагом №1, а также получить втык от начальства.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб июл 05, 2008 21:53 
Не в сети

Зарегистрирован: Вт июн 24, 2008 22:33
Сообщений: 10
Откуда: Kiev, Ukraine
А я уже и рукой махнул на эту тему=)

Goldman писал(а):
Mixoil писал(а):
ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!ПОЧЕМУ??? Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?



В заводской прошивке (v2.00) порт на внешнем интерфейсе всегда совпадает с портом на внутреннем, если перенаправляется один порт то в обоих полях пишется один и тот же номер.


А если нужно пробросить диапазон портов? Помогает? Потому что эти недоступные поля выглядят очень подозрительно. Я, честно говоря, не очень могу проверить, для этого нужно несколько одновременных подключений с разных адресов, я это в пору всеобщих отпусков устроить не могу.


Goldman писал(а):
Насколько мне известно, в будущих версиях прошивки авторы обещают, что номер порта на внутреннем интерфейсе можно будет задавать.


Ммм... более того, я даже видел на форуме ссылку на такую бета-прошивку, она называется dir100_v201_en_b5.bin.
Однако мне порт-маппинг не нужен, а перепрошивка без причины, так сказать - признак дурачины. Мне просто нужно пробросить диапазон портов, а не один. А диапазон "5000-5000" напротив локального адреса меня несколько смущает.


Goldman писал(а):
Mixoil писал(а):
===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:

Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.
[...some text skipped...]
ВОПРОС: как правильно настроить Firewall для этого случая?


Я тоже искал ответ в документации, но не нашел...
Тут наверное следует вспомнить маршрутизатор DI-604 => в нем правила файрволла обрабатывались сверху вниз...


Absolutely!
Покрутив разные варианты, я своего добился.
Неудобство этого подхода в том, что если поставить общее правило слишком рано - при непредусмотренно добавлении новых исключений прийдётся его вручную постепенно сдвигать ниже и ниже.
Я ожидал, что роутер во всех случаях проверяет _все_ правила по очереди, а не спотыкается о первое подходящее. Завершить проверку легче всего, а в хорошей манере кодирования - подумать о пользователе.


Goldman писал(а):
Если такая логика имеет место и в DIR-100, то понятно почему у тебя порт 3389 TCP закрыт - доступ блокируется 1 правилом, поскольку адрес 77.77.77.77 находится в диапазоне 1.1.1.1-254.254.254.254.

Возможное решение - поменять правила местами:
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,


Да-да, это помогло.


Goldman писал(а):
А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:

1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр

Вопрос заключается в следующем: в каком порядке они срабатывают?


Поддерживаю - вопрос хороший.

_________________
//Mi


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб июл 05, 2008 23:02 
Не в сети

Зарегистрирован: Вт янв 03, 2006 16:00
Сообщений: 87
Откуда: Ижевск
люди любят велосипеды открывать однако...в инструкции же написано как правила обрабатываются.

_________________
2хDFL-210


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс июл 06, 2008 12:56 
Не в сети

Зарегистрирован: Вт июн 24, 2008 22:33
Сообщений: 10
Откуда: Kiev, Ukraine
almok писал(а):
люди любят велосипеды открывать однако...в инструкции же написано как правила обрабатываются.


Эээ... может, подскажешь, на какой странице это описано в руководстве к DIR-100, DIR-300, DIR-400?
Чтобы найти эту информацию, я провёл общий поиск (и просто по "Firewall rules", и по "d-link firewall rules", и отдельно - по сайту Д-линка с форумом), внимательно почитал форум и все FAQ, касающиеся роутеров.
Тема нигде не раскрыта.
Нужно было перекачать и прочитать весь ftp?=)

Можно было внести проверку _всех_ правил в прошивку.
Можно в интерфейсе на всякий случай (вдруг это случайно) предупреждать пользователя, что последующие правила будут заблокированы первым - это можно сделать на javascript, и у подавляющего большинства пользователей будет работать.
Я в своих программах почему-то всегда так делаю.

Ну, или, конечно, ещё проще - описать в руководстве к устройству (DIR-*). Чтобы ты мог убедиться, руководства выложены на ftp Д-линка (кроме, почему-то, мануала к DIR-400, его я могу выслать почтой или выложить где-нибудь у себя).

_________________
//Mi


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс июл 06, 2008 16:58 
Не в сети

Зарегистрирован: Вт янв 03, 2006 16:00
Сообщений: 87
Откуда: Ижевск
Действительно, прочел мануал по ДИР-100 и не увидел ссылок на порядок обработки правил. Но все же, раз вы программист, с чего вы решили что Ваши правила должны снизу вверх обрабатываться? Вопрос логики. Да и логика должна была подсказать что все правила не должны обрабатываться а лишь первое удовлетворяющее критерию - как и при роутинге. Вообщем зря Вы профессию то упомянули. А разработчика инструкции незачот.

_________________
2хDFL-210


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс июл 06, 2008 19:10 
Не в сети

Зарегистрирован: Вт июн 24, 2008 22:33
Сообщений: 10
Откуда: Kiev, Ukraine
almok писал(а):
Действительно, прочел мануал по ДИР-100 и не увидел ссылок на порядок обработки правил. Но все же, раз вы программист, с чего вы решили что Ваши правила должны снизу вверх обрабатываться?


Просто первое, что пришло в голову. Когда нет описания, разрешено думать всё, что хочется=)

И я представлял не снизу вверх, а сверху вниз, но с приоритетом запрещения. Т.е. сначала "Запретить всё", а потом потихоньку открываем. А если запрет в конце - то это наоборот, перечёркивание всех предыдущих разрешений. Для софта это нормальный подход. Любую задачу реализовать по-разному можно, я же со свечкой не стоял.
Только это, по-моему, уже неважно=)

Понятно, что я не ожидаю мега-предусмотренности от такого начального девайса, и претензий по этому поводу никому не предъявлял, только просил объяснить.


almok писал(а):
Вообщем зря Вы профессию то упомянули.


А вот этого не надо=)
Есть разные виды компьютерных дел, и программист - не всегда системный администратор.
(А также обращение "на ты" с моей стороны - отнюдь не от хамства.)

_________________
//Mi


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июл 07, 2008 19:57 
Не в сети

Зарегистрирован: Вт сен 25, 2007 19:19
Сообщений: 21
Откуда: Барнаул
Mixoil писал(а):
А если нужно пробросить диапазон портов? Помогает? Потому что эти недоступные поля выглядят очень подозрительно. Я, честно говоря, не очень могу проверить, для этого нужно несколько одновременных подключений с разных адресов, я это в пору всеобщих отпусков устроить не могу.


Ошибка заключается в том, что ты думаешь что в первое поле вводится номер порта на внешнем ip маршрутизатора, а во второе поле - номер порта на внутреннем ip (сервера).

Это не так. В первом поле вводится начало диапазона портов, во второе - конец диапазона портов на внешнем интерфейсе, причем диапазон портов на внешнем ip совпадает с диапазоном на внутреннем ip!

Обрати внимание на картинку в предыдущем посте... во втором правиле как раз перенаправляется диапазон портов!

допустим внешний ip маршрутизатора: 172.16.1.1
ip адрес сервера: 192.168.0.2

В первом поле цифра 5000, во втором 5100, это означает что:

Входящие соединения на диапазон портов 5000-5100 на 172.16.1.1 перенаправляются на диапазон портов 5000-5100 на 192.168.0.2

Если же необходимое перенаправить не диапазон портов, а один порт в обоих полях пишется одно и то же значение (см. правило №1).


Mixoil писал(а):
Goldman писал(а):
А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:

1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр

Вопрос заключается в следующем: в каком порядке они срабатывают?


Поддерживаю - вопрос хороший.


Поскольку спецы D-Link'а молчат как партизаны, отвечаю на свой вопрос.

Parental Control - фильтрует только запросы к DNS!

То есть если доступ зарезан с помощью Parental Control, сайт все равно можно загрузить зная его ip адрес.

Таким образом фильтры срабатывают в следующем порядке:

1. Access Control
2. Parental Control, но только при разрешении имени (запрос к DNS)
3. Firewall & DMZ

Короче говоря, если хочешь зарезать доступ к сайту наверняка используй Firewall & DMZ 8)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 04, 2008 10:03 
Не в сети

Зарегистрирован: Ср окт 01, 2008 08:26
Сообщений: 5
Цитата:
Короче говоря, если хочешь зарезать доступ к сайту наверняка используй Firewall & DMZ Cool


А можно примерчик? Наглядно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 04, 2008 20:53 
Не в сети

Зарегистрирован: Вт сен 25, 2007 19:19
Сообщений: 21
Откуда: Барнаул
TUTU~ писал(а):
Цитата:
Короче говоря, если хочешь зарезать доступ к сайту наверняка используй Firewall & DMZ Cool


А можно примерчик? Наглядно?


Пример из админской жизни - зарезать доступ к одноклассникам :twisted:

Инструменты: Mozilla Firefox, nslookup

1. Открываем страницу в Mozilla Firefox, http://www.odnoklassniki.ru/, Инструменты, Информация о странице, Мультимедиа:

Ссылки ведут odnoklassniki.ru, stg.odnoklassniki.ru

2. Используем nslookup:

Код:
C:\>nslookup odnoklassniki.ru
*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    odnoklassniki.ru
Addresses:  212.119.208.29, 212.119.208.28, 195.222.187.88, 195.222.187.87


C:\>nslookup stg.odnoklassniki.ru
*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    stg.odnoklassniki.ru
Addresses:  195.222.187.218, 195.222.187.219, 195.222.187.216, 195.222.187.217


3. Анализируем ip-адреса:

odnoklassniki.ru:
диапазон 212.119.208.28-212.119.208.29
диапазон 195.222.187.87-195.222.187.88

stg.odnoklassniki.ru:
диапазон 195.222.187.216-195.222.187.219

4. Решаем кому резать...

Допустим компы, которым нужно зарезать доступ находятся в диапазоне адресов 192.168.0.6-192.168.0.8

5. Режем

Изображение

и далее в том же духе... 8)

Главная проблема в том что ип адреса меняются... Parental Control тоже режет, но для всех сразу...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт дек 05, 2008 12:08 
Не в сети

Зарегистрирован: Ср окт 01, 2008 08:26
Сообщений: 5
:!: Супер!!!!!!!!! Спасибо!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB