faq обучение настройка
Текущее время: Ср июн 26, 2019 20:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
СообщениеДобавлено: Пн фев 25, 2019 23:38 
Не в сети

Зарегистрирован: Пн фев 25, 2019 23:21
Сообщений: 5
Привет. Помогите разобраться с его фаерволом, не очень понятная вебморда, поэтому пропустить протокол наружу для всего, да даже и пробросить порт внутрь получилось, а вот сложней уже непонятно. Ситуация такая 1 комп проводом подключен к модему, остальные устройства иногда подключаются по вайфаю. И проводной комп и все другие девайсы получают из dhcp адреса по рандому допустим 192.168.1.0/24. Шлюз является для всех сам модем 192.168.1.1 допустим.

Что я хочу сделать: записать мак адрес одного из беспроводных устройств в статическую выдачу dhcp, так, чтобы на него всегда выдавался строго определенный адрес, например 192.168.1.65. (это я знаю как) Затем заблокировать именно этот адрес на фаерволе, чтобы он никогда в жизни не мог выйти в интернет. Но в то же время мог иметь связь с любым другим устройством внутри, хоть с проводными хоть с беспроводными. То есть на 192.168.1.0/24 можно, а куда угодно еще - нельзя. Выглядит то просто, но я не в состоянии сформулировать это в вебморде модема, ибо непонятна его логика, как там обрабатываются правила сверху вниз итд, stateful оно или нет/не совсем. В справке кнопкой help понятней не становится, так что подскажите пожалуйста как это сделать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 26, 2019 16:12 
В сети

Зарегистрирован: Чт июн 28, 2012 09:45
Сообщений: 5851
На локулку файерволл не должен влиять. Так что делайте правило блокировки исходящего трафика с нужного хоста на 0.0.0.0 и всё должно работать.
Мануал: ftp://ftp.dlink.ru/pub/ADSL/DSL-G804V/D ... _V1.00.pdf

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 26, 2019 22:34 
Не в сети

Зарегистрирован: Пн фев 25, 2019 23:21
Сообщений: 5
мне хочется заблокировать ip а не только tcp/UDP а как это сделать в raw ip filter можно выбрать конкретный протокол типа gre но как заблочить вообще все, какая это цифра?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн мар 04, 2019 00:58 
Не в сети

Зарегистрирован: Вт окт 26, 2010 15:22
Сообщений: 403
Amon2501 писал(а):
непонятна его логика, как там обрабатываются правила сверху вниз итд, stateful оно или нет/не совсем. В справке кнопкой help понятней не становится
Правила обрабатываются сверху вниз. Поэтому правило блокировки для конкретного хоста должно быть ВЫШЕ, чем правило, которое разрешает прохождение трафика для других хостов. К сожалению, здесь нет механизма работы с уже существующими правилами, например, поднять какое-то правило выше по списку. Каждое новое правило добавляется в конец списка. Это доставляет некоторые неудобства при настройке файервола особенно через web-интерфейс, но если это научиться делать через командную строку в режиме copy-paste, тогда в общем-то становится терпимо.

Amon2501 писал(а):
мне хочется заблокировать ip а не только tcp/UDP а как это сделать в raw ip filter можно выбрать конкретный протокол типа gre но как заблочить вообще все, какая это цифра?
У вас и так по-умолчанию любой трафик блокирется, если вы используете свои (All blocked/User-defined), а не предустановленные заводом (High/Medium/Low security level) настройки для файервола. И об этом указано в Help'е:
Скрытый текст: показать
All blocked/User-defined: no pre-defined port or address filter rules by default, meaning that all inbound (Internet to LAN) and outbound (LAN to Internet) packets will be blocked. Users have to add their own filter rules for further access to the Internet.
Поэтому для решения вашей задачи достаточно создать для конкретного хоста блокирующие правила для тех протоколов, которые в явном виде разрешены ниже по списку для всех остальных. На вашем месте я бы вообще указал бы целый блок типа 192.168.1.64/28 и при помощи сервера DHCP привязкой к MAC-адресу отправлял бы в этот блок нужные хосты.

Amon2501 писал(а):
заблокировать именно этот адрес на фаерволе, чтобы он никогда в жизни не мог выйти в интернет. Но в то же время мог иметь связь с любым другим устройством внутри, хоть с проводными хоть с беспроводными. То есть на 192.168.1.0/24 можно, а куда угодно еще - нельзя.
Моя практика с устройством DSL-G804V показывает, что через некоторое время хосты, которые подключились беспроводным способом, теряют возможность получить доступ к хостам, которые подключаются по проводу. Лечится это повторным входом в беспроводную сеть, то есть переподключением к беспроводной сети.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн мар 04, 2019 01:51 
Не в сети

Зарегистрирован: Пн фев 25, 2019 23:21
Сообщений: 5
Спасибо. У меня как раз заводские medium, чуть подредактировано - вырезано ненужное, добавлено свое. Обязательно ли заводской набор означает что всё остальное разрешено тоже? (на практике я что-то не заметил, например для торрентов приходится наружу открывать вообще 1024-65535, иначе ничего не качает.) или там просто не stateful фаервол?

И вот еще что - там очень странная прошивка если зайти по телнету, она не похожа ни на цыску ни на зебру ни на что другое из того, что я видел. Это что то сугубо свое от делинка и аналогов нет или есть какое нибудь общее описание? Там какие то validators, DMZ (интерфейса с таким именем нет, а в морде даже не упоминается) и все в том духе, справка по знаку вопроса скудная чтоб разобраться.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 05, 2019 01:08 
Не в сети

Зарегистрирован: Вт окт 26, 2010 15:22
Сообщений: 403
Amon2501 писал(а):
Обязательно ли заводской набор означает что всё остальное разрешено тоже?
Насколько я помно, нет. Это просто предлагаемый заводом-изготовителем набор правил, так сказать, "шаблон для ленивых". Лично я для себя однозначно определился, что все правила конфигурирую сам в том виде и в той последовательности, которая мне нужна. Иными словами, мой выбор - это "All blocked/User-defined".

Amon2501 писал(а):
или там просто не stateful фаервол?
Каждый под "stateful" понимает что-то своё. Если вы имеете в виду "пропускать обратный трафик из внешнего мира для инициированных из локальной сети соединений", тогда - да. Как бы там ни было, значения "Allow/Block" относятся именно к началу сессии через файервол.

Amon2501 писал(а):
И вот еще что - там очень странная прошивка если зайти по телнету, она не похожа ни на цыску ни на зебру ни на что другое из того, что я видел.
Добро пожаловать в мир ISOS. ;) Ну или оно ещё иногда называется ATMOS.

Amon2501 писал(а):
Это что то сугубо свое от делинка и аналогов нет или есть какое нибудь общее описание?
Конкретно DSL-G804V - это клон в исполнении D-Link'а кого-то из Billion'ов, кажись, BiPAC-7204W.
В качестве доказательства к сказанному могу предъявить небольшой рудимент (прошивка 1.00.08.dm15) из нашего аппарата: http://192.168.1.1/customized/header_frame.html
Для сравнения вот скриншоты с BiPAC-7204W: http://screenshots.portforward.com/rout ... ion/7204W/

Описания CLI для DSL-G804V в природе не существует.
Тем не менее, на просторах Интернета наверняка можно ещё найти что-то типа "Billion_741_743_CLI_Manual".
Также для меня в своё время оказался очень полезным документ "ISOS (8.2) CLI Reference Manual.pdf", несмотря на то, что в DSL-G804V используется ISOS 9.
Как русскоязычный вариант можно поискать "All_Manual_callisto_ru.pdf" для ADSL-маршрутизатора "SI2000 Callisto821+" от ISKRATEL.
Существуют и другие устройства (и описания CLI для них) под управлением ISOS. Многие из них являются голосовыми шлюзами.
Разумеется, в этих документах будут некоторые расхождения с командной строкой DSL-G804V, но это значительно лучше, чем вообще ничего.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 06, 2019 15:31 
Не в сети

Зарегистрирован: Пн фев 25, 2019 23:21
Сообщений: 5
DAurum писал(а):
Конкретно DSL-G804V - это клон в исполнении D-Link'а кого-то из Billion'ов, кажись, BiPAC-7204W.
В качестве доказательства к сказанному могу предъявить небольшой рудимент (прошивка 1.00.08.dm15) из нашего аппарата: http://192.168.1.1/customized/header_frame.html
Для сравнения вот скриншоты с BiPAC-7204W: http://screenshots.portforward.com/rout ... ion/7204W/

Описания CLI для DSL-G804V в природе не существует.
Тем не менее, на просторах Интернета наверняка можно ещё найти что-то типа "Billion_741_743_CLI_Manual".
Также для меня в своё время оказался очень полезным документ "ISOS (8.2) CLI Reference Manual.pdf", несмотря на то, что в DSL-G804V используется ISOS 9.
Как русскоязычный вариант можно поискать "All_Manual_callisto_ru.pdf" для ADSL-маршрутизатора "SI2000 Callisto821+" от ISKRATEL.
Существуют и другие устройства (и описания CLI для них) под управлением ISOS. Многие из них являются голосовыми шлюзами.
Разумеется, в этих документах будут некоторые расхождения с командной строкой DSL-G804V, но это значительно лучше, чем вообще ничего.


К сожалению All_Manual_callisto_ru.pdf хоть и нагугливается, но ссылка ведет на какой то украинский хостинг где уже давно ничего нет. Попытка нагуглить мануалы по ISOS приводит на цыску (и неправильно), а про ATMOS гуглится все что угодно от котлов до звуковой долбилки в кинотеатры, только того чего надо нет. Эта ось какая то особо секретная? Мне хотя бы базовые понятия разобраться, достаточно даже общих мануалов, дальше по справке разберусь из конкретно делинка. Особо интересно понятие validators в подменю firewall.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 06, 2019 17:48 
Не в сети

Зарегистрирован: Вт окт 26, 2010 15:22
Сообщений: 403
Специально для вас нагуглил (ссылки действительны по состоянию на 06-мар-2019):

Billion_741_743_CLI_Manual: ftp://lynas.ittc.vu.lt/pub/Tvarkykles/B ... LI_Manual/
ISOS (8.2) CLI Reference Manual: http://www.aurelgadjo.fr/Files/Neufbox_ ... trio_3.pdf
SI2000 Callisto821+: http://www.donetsk.ukrtelecom.ua/media/library/8.doc

Ещё отсюда что-нибудь может оказаться полезным:
https://www.manualslib.com/products/Eri ... 11375.html
http://www.charlesindustries.com/downlo ... 80-N02.pdf
http://atlantis-land.eu/download/USERGU ... 0_MI01.pdf

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 06, 2019 21:39 
Не в сети

Зарегистрирован: Пн фев 25, 2019 23:21
Сообщений: 5
Благодарствую. А доков по isos 9 нет, хоть бы даже и общих?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB