faq обучение настройка
Текущее время: Пт мар 29, 2024 02:46

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 26 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 12, 2008 18:07 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Пример настройки PBR (Policy Based Routing - маршрутизация на основе политик) для разрешения пинга снаружи по обоим интерфейсам DMZ или WAN2 для серии D-Link DFL. Подразумевается, что основной канал связи через WAN (или WAN1), а также DMZ (или WAN2) правильно настроены и работают. :D

Для разрешения проброса портов через порт DMZ (или WAN2) все делается аналогично. Потребуется только сменить сервис (п.3) и разрешающие правила (п.4).

1. Создаем новую таблицу маршрутизации
DFL-210 - Routing - Routing Tables - Add

Name: Alt
Ordering: Only

Alt Only No

2. Создаем новый маршрут в таблице Alt
DFL-210 - Routing - Routing Tables - Alt - Add -> Route
Interface: dmz
Network: all-nets
Gateway: dmz_gw
Local IP Address: (None)
Metric: 90

Route dmz all-nets dmz_gw 90 No
Таблица Alt содержит маршрут для входящего и исходящего трафика с интерфейса DMZ.

3. Создаем правило маршрутизации
DFL-210 - Routing - Routing Rules - Add -> Routing Rule
Name: Alt_Ping
Forward Table: main
Return Table: Alt
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

Alt_ping dmz all-nets core dmz_ip ping-inbound
Это правило заставляет входящие запросы на интерфейс DMZ обрабатываться по таблице маршрутизации Alt.

4. Создаем разрешающее правило
DFL-210 - Rules - IP Rules - Add -> IP Rule

Name: ping_dmz
Action: Allow
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

ping_dmz Allow dmz all-nets core dmz_ip ping_inbound
Это обычное правило, разрешающее пинги на интерфейс DMZ. Чтобы оно точно срабатывало, лучше его разместить выше остальных IP-правил и папок IP-правил.

Если настраивается проброс портов, например, для сервиса rdp, то вместо упомянутого одного правила формируютcя два правила вида:
Allow_rdp SAT dmz all-nets core dmz_ip rdp (не забыть указать адрес назначения во вкладке SAT)
Allow_rdp Allow dmz all-nets core dmz_ip rdp
А также в правиле маршрутизации в п.3 сервис изменяется на нужный (rdp).

Вот и все. Нажатия в нужных местах кнопки Ok, а также сохранение и активация конфигурации подразумеваются.

Пингуем снаружи порт DMZ. Пинг работает отовсюду.

Как исходный материал для понимания, использовалась инструкция из FAQ на русском сайте http://www.dlink.ru/ru/faq/85/576.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Чт июн 20, 2019 09:19, всего редактировалось 31 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 00:55 
Не в сети

Зарегистрирован: Чт окт 02, 2008 02:47
Сообщений: 26
Цитата:
http://www.dlink.ru/technical/faq_firewall.php

То есть, если вместо ping-inbound поставить, например, all_tcpudpicmp то по моей схеме всё заработает?
Пробовал - не получается.

_________________
RadioGubitel


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 07:32 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Из-за вашего двойного NAT'а нет никакого желания разбираться в силу упомянутых выше причин.

Описание я вам писал с подобной, но не идентичной схемы. Сейчас я его чуть дополнил. Могли закраться ошибки. Но маловероятно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 11:30 
Не в сети

Зарегистрирован: Чт окт 02, 2008 02:47
Сообщений: 26
Тогда у меня про двойной NAT вопрос.
Вот есть модем стримовский. Настроен роутером. Его адрес 192.168.1.1. В нем настроен DMZ на адрес 1.2 и включен DHCP. Берем комп, подключаем напрямую к модему и назначаем сетевухе компа эти самые 1.2. Убеждаемся что модем видит комп именно как 1.2. Всё прекрасно работает, в том числе и наш искомый RDP.
Вынимаем шнур из компа и перетыкаем в DFL в DMZ. Ему, само-собой, назначается 1.3, на которые мы в модеме и меняем DMZ. Модем видит DFL на этом адресе, в статусе DFL также этот 1.3.
На мой взгляд всё просто и правильно, или я не вижу здесь некоторых подводных камней?

_________________
RadioGubitel


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 11:39 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
RadioGubitel писал(а):
Тогда у меня про двойной NAT вопрос.
Вот есть модем стримовский. Настроен роутером. Его адрес 192.168.1.1. В нем настроен DMZ на адрес 1.2 и включен DHCP. Берем комп, подключаем напрямую к модему и назначаем сетевухе компа эти самые 1.2. Убеждаемся что модем видит комп именно как 1.2. Всё прекрасно работает, в том числе и наш искомый RDP.
Вынимаем шнур из компа и перетыкаем в DFL в DMZ. Ему, само-собой, назначается 1.3, на которые мы в модеме и меняем DMZ. Модем видит DFL на этом адресе, в статусе DFL также этот 1.3.
На мой взгляд всё просто и правильно, или я не вижу здесь некоторых подводных камней?
Мне тоже кажется, да. Все просто и правильно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 12:01 
Не в сети

Зарегистрирован: Чт окт 02, 2008 02:47
Сообщений: 26
YuriAM писал(а):
Описание я вам писал с подобной, но не идентичной схемы. Сейчас я его чуть дополнил. Могли закраться ошибки. Но маловероятно.


Упс... а изменений там я сначала и не заметил! Сейчас буду пробовать, спасибо!

_________________
RadioGubitel


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 13:32 
Не в сети

Зарегистрирован: Чт окт 02, 2008 02:47
Сообщений: 26
Нет, добавление правила SAT не помогло.

_________________
RadioGubitel


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 13:39 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
RadioGubitel писал(а):
Нет, добавление правила SAT не помогло.
Разумеется на вкладке SAT вы указали комп, куда надо перенаправлять?

Разбирайтесь. Я Вам предоставил достаточно информации, чтобы вы это победили.

Действуйте постепенно. От простого к сложному.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 14:10 
Не в сети

Зарегистрирован: Чт окт 02, 2008 02:47
Сообщений: 26
Ура, все заработало!!!
Не получалось из-за того, что я пытался зайти с еще одного компа, но воткнутого тоже в DFL. Когда я с него же зашел на еще один уже давно работающий удаленный сервер, а оттуда также через RDP уже на стримовский адрес, то все получилось.
А можно как-то победить это чтоб я мог сидя на сервере зайти в тестовых целях на него же попеременно через эти 2 разных канала?

Вот что в логах
2008-11-13
13:54:49 Notice RULE
6000060 LocalUndelivered TCP lan
192.168.1.3
78.107.ххх.ххх 3389
53019 unhandled_local
drop
ipdatalen=28 tcphdrlen=28 syn=1 ack=1
2008-11-13
13:54:49 Info CONN
600001 dmz_rdp TCP dmz
lan 78.107.ххх.ххх
192.168.1.3 53019
3389 conn_open

satdestrule=dmz_rdp_SAT conn=open

_________________
RadioGubitel


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 09, 2010 15:17 
Не в сети

Зарегистрирован: Пн ноя 26, 2007 19:40
Сообщений: 45
Добрый день, есть вопрос. Статья очень полезная.

Вопрос в следующем - подскажите каким образом можно пустить трафик http с lannet на определенный айпи адрес через DMZ?

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 09, 2010 16:08 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
epm писал(а):
Добрый день, есть вопрос. Статья очень полезная.

Вопрос в следующем - подскажите каким образом можно пустить трафик http с lannet на определенный айпи адрес через DMZ?
Для вас подойдет вот эта ссылка
viewtopic.php?t=93443

Только настраивать надо не для определеного адреса, а для вашего сервиса.

Большая просьба, если у вас есть вопросы, создавайте свою тему. Не надо обсуждать их в чужих топиках.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Чт июл 12, 2018 10:44, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 10, 2010 09:38 
Не в сети

Зарегистрирован: Пн ноя 26, 2007 19:40
Сообщений: 45
Спасибо большое, помогло.

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 26 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 55


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB