faq обучение настройка
Текущее время: Пт мар 29, 2024 18:47

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 85 ]  На страницу 1, 2, 3, 4, 5, 6  След.
Автор Сообщение
СообщениеДобавлено: Вт окт 07, 2008 10:03 
Не в сети

Зарегистрирован: Вт окт 07, 2008 09:49
Сообщений: 4
Впервые столкнувшись с "серьезным" файерволом, прочитав мануал и перепробовав некоторое количество вариантов так и не смог осуществить сабж. :((( (чайник увы)

Пожалуйста подскажите как (пошагово) это осуществить ПРАВИЛЬНО.

Господа специалисты, не сочтите за труд написать статью в FAQ - как настроить работу торента на DFL и как его заблокировать. Думаю это будет очень полезно многим.
Заранее спасибо,


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 10:38 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
1. Выбираем порт, который нужно открыть для программы. Имеются ввиду любые программы: игровые, серверы, p2p клиенты типа eMule, DC++, BitTorrent и т.п. Для примера выберем порт 45678. Обратить внимание, что в программе надо выбирать ручную установку конкретного порта 45678. Именно ручная установка порта, не UPnP и не случайного.
Изображение

2. Создаем свой собственный сервис.
Переходим в Objects -> Services. Нажимаем в правой панели Add. Выбираем TCP/UDP service. Набираем
Name: torrent
Type: TCP/UDP
Source: 0-65535
Destination: 45678
Нажимаем OK
Изображение

Если делается проброс портов для стандартных сервисов, вроде ftp, http, rdp и т.п., то для них лучше использовать уже существующие (предустановленные) в DFL сервисы. Следует помнить, что порты TCP 80 (http) и TCP 443 (https) используются для удаленного управления DFL (DFL-210 - System - Remote Management - Advanced Settings). Следовательно, для их проброса, предварительно надо поменять порты управления на другие, например, 9080 и 9443.

3. Перенаправляем порты.
Подробная инструкция здесь http://dlink.ru/ru/faq/85/480.html. Если недостаточно краткой инструкции, приведенной ниже, то действуем по этой, но не для rdp сервиса, а для созданного нами torrent сервиса.

Вкратце:
Создаем две пары правил, стоящих рядом в указанном порядке, в общем случае такого вида.

torrent SAT wan all-nets core wan_ip torrent
torrent Allow wan all-nets core wan_ip torrent

Изображение

Не забываем в правиле SAT, во вкладке SAT указать Destination IP Address - New IP Address: на нужный компьютер. Номер порта New Port:, если он не изменяется, можно не заполнять.

Изображение

На стадии отладки лучше поместить эти правила выше остальных, чтобы исключить влияние других настроек.

В случаях нетипичной или неверной настройки маршрутизации может понадобиться второе правило сделать не Allow, а NAT. Это замечание относится к случаям проброса портов для серверных программ. И практически никогда этого не делают для торрент-клиентов, т.к. из-за этого возникают проблемы.

Если у вас выход в интернет идет не через wan, а через другие интерфейсы (PPTP, PPPoE и т.д.) надо подправить в правилах интерфейсы и адреса. Например, для интерфейса PPPoE правила будут такие.
torrent_SAT SAT PPPoE all-nets core PPPoE_ip torrent
torrent_Allow Allow PPPoE all-nets core PPPoE_ip torrent


Применяем настройки: Сonfiguration -> Save and Activate

4. Тестируем порт.
Можно проверить снаружи, из интернета из командной строки командой
telnet <ваш_белый_адрес> 45678
Если все окно командной строки стало черным, значит telnet установил соединение и открыл сеанс связи.
Так, однако, можно проверять только TCP порты.

Если у вас возникают какие-либо затруднения и недопонимания в этом вопросе, пишите мне в приват, чтобы не замусоривать тему, и я буду корректировать неясные пункты.

Примечание 1. Еще один важный момент. Он не имеет отношения к DFL, но важен для нормального функционирования BitTorrent клиентов на настольных версиях с Windows XP по Windows Vista SP1, где кол-во полуоткрытых соединений искусственно ограничено числом 10. В таких условиях BitTorrent клиенты медленнее набирают скорость загрузки/отдачи, а браузеры крайне медленно, либо совсем не открывают страницы. В серверных версияx Windows и финальныx Windows Vista SP2, 7, 8, 8.1, 10 это ограничение снято.

Пока у меня нет желания описывать причины этого подробнее. Скажу лишь, как решить проблему:
Необходимо запустить программу (патч) для исправления системного файла tcpip.sys. Рекомендуется устанавливать значение от 255 до 65535 вместо 10. Я ставлю 255-1000.
Некоторые манипуляции с операционной системой, например, переустановка и установка сервис-пака, возвращают исходное состояние этого файла и патч надо запускать снова.

Кроме того, в BitTorrent клиенте увеличить кол-во полуоткрытых соединений до 30 или 200, по желанию. В µTorrent это параметр net.max_halfopen. По умолчанию его значение 8.

Ссылки на некоторые подобные патчи:
1. https://rutracker.org/forum/viewtopic.php?t=1002417
2. http://deepxw.blogspot.ru/2009/01/download-latest-version.html.

Примечание 2. Старайтесь во всех IP правилах никогда не использовать интерфейс any. Так как это часто служит причиной несрабатывания нижележащих правил и может создать бреши в безопасности. Указывайте отдельные интерфейсы или группы нужных интерфейсов. Использование интерфейса any в некоторых инструкциях D-Link, вероятно, продиктовано ленью технического писателя, чтобы не объяснять пользователям, что надо использовать правильный интерфейс и как это сделать. То есть интерфейс, с которого пробрасываются порты. Все согласно поговорке "Одно лечим - другое калечим".

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Пн июн 19, 2017 11:59, всего редактировалось 63 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 12:10 
Не в сети

Зарегистрирован: Вт окт 07, 2008 09:49
Сообщений: 4
2 Yuri

C меня как минимум коньяк! Спасибо


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 12:19 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
b0ber писал(а):
2 Yuri

C меня как минимум коньяк! Спасибо
Ловлю на слове! :!: :lol:

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 18:17 
Не в сети

Зарегистрирован: Вт окт 07, 2008 09:34
Сообщений: 5
Откуда: Одесса
Помогите пожалуйста чайнику где найти этот собственный сервис который нужно созадть,а то все красиво и понятно как и что делать с ним,но я просто не могу найти где именно все данные действия должны производиться,подскажите пожайлуста путь туда или через что нужно заходить.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 18:41 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
SDR писал(а):
Помогите пожалуйста чайнику где найти этот собственный сервис который нужно созадть,а то все красиво и понятно как и что делать с ним,но я просто не могу найти где именно все данные действия должны производиться,подскажите пожайлуста путь туда или через что нужно заходить.
У Вас какая железка-то? Тут речь про DFL-210, а у Вас, насколько я понимаю DIR-300.
Для начала читайте тут:
ftp://ftp.dlink.ru/pub/Router/DIR-300/D ... _0_RUS.pdf
стр. 14

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Вт окт 07, 2008 18:49, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 18:48 
Не в сети

Зарегистрирован: Вт окт 07, 2008 09:34
Сообщений: 5
Откуда: Одесса
А под DIR-300 это не проконает?Просто в скрине там DFL-800,а не DFL-210 и я подумал что это универсальный метод или нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 18:49 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Нет. Это не универсальный метод.
Идеология - да, универсальная. А реализация на железках порой очень сильно отличается.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 07, 2008 18:50 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
SDR писал(а):
А под DIR-300 это не проконает?Просто в скрине там DFL-800,а не DFL-210 и я подумал что это универсальный метод или нет?
Это инструкция для всей линейки DFL-210/260/800/860/1600/2500. И только для нее. Не пошаговая, но достаточно понятная для большинства пользователей.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 10, 2008 15:58 
Не в сети

Зарегистрирован: Ср авг 08, 2007 11:12
Сообщений: 480
Откуда: Украина, Киевская обл.
Еще по ходу один вопросик : если у меня в сети несколько "торент" клиентов, как возможно создать единый сервис с одним входящим портом? Или не получится и для каждого клиента надо задавать свой "входящий порт" и свою группу правил.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 10, 2008 20:26 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Yura_kiev писал(а):
Еще по ходу один вопросик : если у меня в сети несколько "торент" клиентов, как возможно создать единый сервис с одним входящим портом? Или не получится и для каждого клиента надо задавать свой "входящий порт" и свою группу правил.
У каждого клиента должен быть свой уникальный порт. Но для группы портов вы можете проделать не больше действий, чем для одного. Достаточно лишь создать сервис для диапазона портов или списка. Это допускается. Изменения коснутся только создаваемого сервиса.

Например:

Name: torrent
Type: TCP/UDP
Source: 0-65535
Destination: 45678-45680,33333


Таким образом, вы открываете 4 порта: 45678, 45679, 45680, 33333. И 4 программы могут работать одновременно, не мешая друг другу.

Правила же никаких изменений не претерпевают.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Сб фев 14, 2009 14:17, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 14:38 
Не в сети

Зарегистрирован: Пт окт 10, 2008 12:40
Сообщений: 35
Здравствуйте.
такой вопрос:
Если клиентов несколько, то для каждого SAT создавать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 14:57 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Если эти клиенты стоят на одном компе, то достаточно добавить их порты в существующий сервис (н-р, torrent). Сущетсвующие два правила для сервиса torrent остаются без изменений (см. предыдущее сообщение YuriAM).
Если клиенты стоят на разных компах, то правила придется продублировать, указывая для каждого SAT корректный Destination IP Address на соотв. вкладке.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 15:31 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Для каждого компьютера в локальной сети должна быть создана своя пара правил SAT/Allow и свой сервис (существующий или вновь созданный).

Если же на компьютере несколько программ требуют проброса портов, то сервис для этого компьютера должен содержать список портов. Обычно на каждую программу по одному порту.

Разумеется, все пробрасываемые порты должны быть уникальны. Т.е. нельзя пробросить один и тот же порт более чем на один компьютер или программу.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 15:36 
Не в сети

Зарегистрирован: Пт окт 10, 2008 12:40
Сообщений: 35
Все получилось спасибо, но от себя хотел бы добавить, что eMule тестирует порты используя 81 порт, так что для выдачи результата нужно его разрешить.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 85 ]  На страницу 1, 2, 3, 4, 5, 6  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 45


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB