Решил тут настроить файрвол на DSL-500G.

Не совсем понятны настройки (несмотря на весь доступный хелп).

1. Интерфейсы.
Поставить что интрефейс Public можно (в моем случае в разделе PPP)
Private - как я понял это eth-0 (Ethernet)
Я так понимаю DMZ на этот модеме весьма виртуальна, фактически у этого модема нету DMZ (как я понял осталось от 504G).
Или если есть DMZ, то что понимать под DMZ ? И как задать

2. При включеном файровле с High не работает его же DHCP сервер. Приходится создавать правило позволяшее пропускать пакеты с IP 255.255.255.255, с Private интерфейса перед правилом это запрещаюшим (20-тое вроде)

3. Непонятно правило номер 10.

Сюдя по описанию запрешает со всех интерфейсов все пакеты.
Это как ?

P.S. Прощу прощения за некий сумбур, писал в рабочее время, а модем дома .

P.P.S. до чего же мало инфы по роутеру, переодически находятся какие то куски. Например команды в телнете

Вопросы слишком тупые ?
или это только меня одного волнует ?

И почему по SNMP видно что у модема открыт UDP порт - 64512, по мимо SNMP(161) и TFTP(69) ?
Это кто такой ? и чего ему надо ? (модем вообще как бридж работает)

Public, Private, DMZ - типы интерфейсов для Firewall. Т.е. как бы некоторые заранее предустановленные шаблоны.



$get ipf rule entry ruleid 10

Rule id : 10 Interface : ALL
Rule Admin Status : Enable Rule Oper Status : Disable
In Interface : ALL Direction : IN
Security Level : High Blacklist Status : Disable
Logging : Disable Action : Deny
Log Tag : -
IP Frag Pkt : Ignore IP Opt Pkt : Ignore
TCP Flag : Any Store State : Disable
Src Addr : Any
Dest Addr : Bcast
Src Port : Any
Dest Port : Any
ICMP Code : Any
ICMP Type : Any
TransProt : Any
IP Pkt Size : Any
TOD Rule : Enable Between 00:00:00 23:59:59

Т.е. это правило запрещает все броадкасты.

$get ipf rule entry ruleid 10
Где бы найти список команд телнета ?
Половина из найденых не подходит, те которые говорите Вы подходят , но собираю их по всему форуму.

И интерфейс в консоле хитрый, на любую неправильную команду говорит что не знает такую (шпиён).

Public, Private, DMZ - типы интерфейсов для Firewall. Т.е. как бы некоторые заранее предустановленные шаблоны.
Спасибо, это понятно.
Но какой шаблон соответвует какому интерфейсу не понятно .
шаблон Public можно присвоить для PPP интерфейса, как присвоить остальные не нашел.
с Private все понятно, это может быть eth-0, но DMZ ? толку от шаблона, если ему не соответствует ничего

Далее приведены различающиеся моменты в правилах DSL-500G. Поясните, пожалуйста, что тогда понимается под bcast в 10 правиле и чем bcast отличается от 255.255.255.255 или bcast это адрес динамически создаваемый из IP интерфейса и маски ? тогда каким будет данный адрес если указано "все интерфейсы" ? ещё непонятно как в IP Filter (в web-интерфейсе управления) посмотреть для какого IP Dest идёт правило ? например, для 10 правила стоит "-", а на самом деле оказалось что это bcast. или лучше не доверять веб-интерфейсу и конфигурировать только через telnet ?

====
D-Link Corp., Software Release R2.00.B6(020618i1/T93.3.19)
Copyright (c) 2001-2002 by D-Link Corp.

$get ipf rule entry ruleid 10

Rule id : 10 Interface : ALL
<skip>
Dest Addr : Bcast
<skip>


$get ipf rule entry ruleid 20

Rule id : 20 Interface : ALL
<skip>
Dest Addr : Equal 255.255.255.255
<skip>
====

Так же что означает поле "Log Tag" ?
и последний вопрос: если задать в свойствах правила ведение логов - куда данные логи (не e-mail) буду отправляться и в каком формате (или пошлите к соответствующему RFC или хотя бы намекните по какому протоколу в каком формате отправляются "извещения" о срабатывании правила. Надеюсь, не очень вопросами достал

Пока придется учиться пользоваться встроенным в CLI help-ом. Может быть в ближайшем будущем ситуация изменится.


Ip filter хорошо описан во встроенном в web интерфейс help-е. При создании любого интерфейса его можно сделать как Public, так и Private и DMZ. Еще раз повторю, это всего-лишь предустановленные правила фильтрации пакетов! Чтобы получить реальную функцию DMZ придется настраивать правило NAT.

Как я понял речь идет о броадкастах разного уровня. Т.е. 2 и 3 соответственно.


Кроме малой информативности при отображении уже СДЕЛАННЫХ настроек web интерфейс ни в чем другом плохом замечен не был .



"Log Tag: A description of up to 16 characters to be recorded in the log in the event that a packet violates this rule. Be sure to set the Log Option to Enable if you configure a Log Tag. "

ну, я конечно может быть и туплю иногда.
Но почему то help показывает только список команд .
Например команда get там есть, а вот чего эта get, может не написано.
В частности help get показывает "неправильная команда"
просто "get" - неправильная команда .
Может быть расскажете как пользоваться таким хелпом ?


Перерыл вдоль и поперек.
Нашел только что PPP можно сделать public, все остальное изменить нельзя. И вообще это единственый интерфейс который можно создать (что бы Ip фильтр на нем работал).

Еще раз как я понял щаблоны применяются:
Private на eth-0 (Ethernet)
Public = Можно выставить (как правило PPoE интерфейс)
DMZ = Нету. Вставить нельзя.

Таким образом если я создам правило:
Для Public интерфейса запретить любой пакет.
То я буду не доступен "снаружи" вообще (впрочем и NAT работать НЕ будет).
Если я поставлю: с интерфейса Private не принимать пакеты на 23 порт. Но я уже несмогу воспользоваться телнетом (с компьютера подключеного к eth).
А если я поставлю: с интерфейса DMZ не принимать ничего, то никакого влияния эта настройка не окажет ?
Или DMZ это "виртуальный интерфейс" для NAT'a ?


Спасибо, это понятно. (и логично)


--
В целом по правилам ситуация проясняется , за что Вам спасибо.

Попробуйте get ?



Private/Public/DMZ Default Action: This setting specifies a default action to be taken (Accept or Deny) on private, public, or DMZ-type device interfaces when they receive packets that do not match any of the filtering rules. You can specify a different default action for each interface type. (You specify an interface's type when you create the interface; see the PPP configuration page, for example.)
A public interface typically connects to the Internet. PPP, EoA, and IPoA interfaces are typically public. Packets received on a public interface are subject to the most restrictive set of firewall protections defined in the software. Typically, the global setting for public interfaces is Deny, so that all accesses to your LAN initiated from external computers are denied (discarded at the public interface), except for those allowed by a specific IP Filter rule.
A private interface connects to your LAN, such as the Ethernet interface. Packets received on a private interface are subject to a less restrictive set of protections, because they originate within the network. Typically, the global setting for private interfaces is Accept, so that LAN computers have access to the ADSL/Ethernet routers' Internet connection.
The term DMZ (de-militarized zone), in Internet networking terms, refers to computers that are available for both public and in-network accesses (such as a company's public Web server). Packets received on a DMZ interface -- whether from a LAN or external source -- are subject to a set of protections that is in between public and private interfaces in terms of restrictiveness. The global setting for DMZ-type interfaces may be set to Deny so that all attempts to access these servers are denied by default; the administrator may then configure IP Filter rules to allow accesses of certain types.

get ?

get /? пробывал, а вот до get ? не додумался . (даже get -? и get --? пробвал )


Насчет DMZ у нас получилось полное непонимание .
Packets received on a DMZ interface
А вот я и хочу узнать а где этот интерфейс ?

По идее его можно задать (указать, что считать DMZ).

На самом деле <команда> ? - стандартный вызов help-а во всех нормальных CLI. А вот всякие help <команда> - извращения.


Точно. Любой интерфейс можно сделать DMZ.
$create ppp intf ?
Parameter Description
--------- -----------
ifname <name> PPP Interface Name
[ start|stop|startondata ] PPP Session Status
[ mru <decvalue> ] Maximum Receive Unit
lowif <name> Lower Interface Name
[ sname <name> ] Service Name
[ magic true|false ] Magic Number Negotiation
[ droute true|false ] Default route
PPOA|PPOE|L2TP Lower Layer Protocol
[ usedhcp true|false ] Address Negotiation
[ ip <ddd.ddd.ddd.ddd> ] IP Address for the PPP Link
[ Inside|Outside|None ] NAT Direction
[ usedns true|false ] DNS service
[ ifsectype public|private|dmz ] Interface Security Type
[ l2tpcalltype <Options> ] Values: outlns|outlac|inlns|inlac
[ usegwy local|remote ] Use Gateway

Видно, что при создании интерфейса можно определить, кем он будет:
[ ifsectype public|private|dmz ] Interface SecurityType
То же самое можно сделать и из web интерфейса.

На самом деле <команда> ? - стандартный вызов help-а во всех нормальных CLI. А вот всякие help <команда> - извращения.
Спасибо еще раз, просто всякие нормальные CLI пока для меня скорее нонсенс чем правило, я проводил аналогию с DOS, Win, *nix.

Тяжело переучиваться с программных роутеров на аппаратные (но видимо за ними будушее).
И прощу прощения если замучал глупыми вопросами

Видно, что при создании интерфейса можно определить, кем он будет:
[ ifsectype public|private|dmz ] Interface SecurityType
То же самое можно сделать и из web интерфейса.
Могу я уточнить ?
Получается, что DMZ я могу назначить только для IPoA & PPoE, так как других интерфейсов я создать не могу (из Веб Интерфейса).


P.S. И все таки поимею наглость, спросить, что за порт такой UDP : 64512 открытый модемом, на адресе 0.0.0.0. Это когда он работает как мост, в режиме роутера у меня еще открыт порт 49ххх (не помню, амодем дома ). На DNAT не похоже, а специально ничего не пробрасывал.

P.P.S Спасибо за CLI команды в виде PDF (подпись D-Link Confidential умиляет )

RESPECT!



Можно еще Eoa и PPPoA создать.


Честно скажу, не знаю
Если NAT не настроен, то это какая-то локальная служба самого роутера.

Т.е., грубо говоря, 255.255.255.255 это адрес получателя IP-пакета, а bcast - адрес получателя в ethernet фрейме (mac-адрес ff:ff:ff:ff:ff:ff или подобное для других протоколов ?) ? или речь не про OSI уровни ?



На этот вопрос ответьте, плз. А то ставим, например, запрет на входящие по PPPoE интерфейсу, UDP, 161 порт и blacklist - если кто-то пробуем ломиться за SNMP-данными, то в блок-листе IP того кто ломится мы наблюдаем и видим что правило сработало, но в какой лог записалась информация о срабатывании правила ? в alert'ах ничего нету

P.S. пока мы совсем не надоели вопросами - ещё вопрос. Даже два:
1) когда сбрасывается SNMP-счётчик IfInOctet/IfOutOctet (есть предположение, но вот насколько оно верно: счётчик сбрасывается при пропадании питания модема или при перезагрузке модема, ухождение интерфейса в даун не влияет на значение счётчика) ?
2) реально ли узнать (если да, то каким oid'ом через snmp или где в настройках через telnet/веб интерфейс) когда down/up интерфейсы eth / ppp (а то для atm в alert'ах время указано, а вот для eoa/ppp/eth нет такой информации) ?

P.P.S. пока писал - обнаружил что уже выдан список команд. один из вопросов снят..

Для Вас стараемся.