Пример настройки PBR (Policy Based Routing - маршрутизация на основе политик) для разрешения пинга снаружи по обоим интерфейсам DMZ или WAN2 для серии D-Link DFL. Подразумевается, что основной канал связи через WAN (или WAN1), а также DMZ (или WAN2) правильно настроены и работают.

Для разрешения проброса портов через порт DMZ (или WAN2) все делается аналогично. Потребуется только сменить сервис (п.3) и разрешающие правила (п.4).

1. Создаем новую таблицу маршрутизации
DFL-210 - Routing - Routing Tables - Add

Name: Alt
Ordering: Only

Alt Only No

2. Создаем новый маршрут в таблице Alt
DFL-210 - Routing - Routing Tables - Alt - Add -> Route
Interface: dmz
Network: all-nets
Gateway: dmz_gw
Local IP Address: (None)
Metric: 90

Route dmz all-nets dmz_gw 90 No
Таблица Alt содержит маршрут для входящего и исходящего трафика с интерфейса DMZ.

3. Создаем правило маршрутизации
DFL-210 - Routing - Routing Rules - Add -> Routing Rule
Name: Alt_Ping
Forward Table: main
Return Table: Alt
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

Alt_ping dmz all-nets core dmz_ip ping-inbound
Это правило заставляет входящие запросы на интерфейс DMZ обрабатываться по таблице маршрутизации Alt.

4. Создаем разрешающее правило
DFL-210 - Rules - IP Rules - Add -> IP Rule

Name: ping_dmz
Action: Allow
Service: ping-inbound
Schedule: (None)

Interface Source: dmz
Network Source: all-nets

Interface Destination: core
Network Destination: dmz_ip

ping_dmz Allow dmz all-nets core dmz_ip ping_inbound
Это обычное правило, разрешающее пинги на интерфейс DMZ. Чтобы оно точно срабатывало, лучше его разместить выше остальных IP-правил и папок IP-правил.

Если настраивается проброс портов, например, для сервиса rdp, то вместо упомянутого одного правила формируютcя два правила вида:
Allow_rdp SAT dmz all-nets core dmz_ip rdp (не забыть указать адрес назначения во вкладке SAT)
Allow_rdp Allow dmz all-nets core dmz_ip rdp
А также в правиле маршрутизации в п.3 сервис изменяется на нужный (rdp).

Вот и все. Нажатия в нужных местах кнопки Ok, а также сохранение и активация конфигурации подразумеваются.

Пингуем снаружи порт DMZ. Пинг работает отовсюду.

Как исходный материал для понимания, использовалась инструкция из FAQ на русском сайте http://www.dlink.ru/ru/faq/85/576.html

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

То есть, если вместо ping-inbound поставить, например, all_tcpudpicmp то по моей схеме всё заработает?
Пробовал - не получается.

_________________
RadioGubitel

Из-за вашего двойного NAT'а нет никакого желания разбираться в силу упомянутых выше причин.

Описание я вам писал с подобной, но не идентичной схемы. Сейчас я его чуть дополнил. Могли закраться ошибки. Но маловероятно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Тогда у меня про двойной NAT вопрос.
Вот есть модем стримовский. Настроен роутером. Его адрес 192.168.1.1. В нем настроен DMZ на адрес 1.2 и включен DHCP. Берем комп, подключаем напрямую к модему и назначаем сетевухе компа эти самые 1.2. Убеждаемся что модем видит комп именно как 1.2. Всё прекрасно работает, в том числе и наш искомый RDP.
Вынимаем шнур из компа и перетыкаем в DFL в DMZ. Ему, само-собой, назначается 1.3, на которые мы в модеме и меняем DMZ. Модем видит DFL на этом адресе, в статусе DFL также этот 1.3.
На мой взгляд всё просто и правильно, или я не вижу здесь некоторых подводных камней?

_________________
RadioGubitel

Мне тоже кажется, да. Все просто и правильно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Упс... а изменений там я сначала и не заметил! Сейчас буду пробовать, спасибо!

_________________
RadioGubitel

Нет, добавление правила SAT не помогло.

_________________
RadioGubitel

Разумеется на вкладке SAT вы указали комп, куда надо перенаправлять?

Разбирайтесь. Я Вам предоставил достаточно информации, чтобы вы это победили.

Действуйте постепенно. От простого к сложному.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ура, все заработало!!!
Не получалось из-за того, что я пытался зайти с еще одного компа, но воткнутого тоже в DFL. Когда я с него же зашел на еще один уже давно работающий удаленный сервер, а оттуда также через RDP уже на стримовский адрес, то все получилось.
А можно как-то победить это чтоб я мог сидя на сервере зайти в тестовых целях на него же попеременно через эти 2 разных канала?

Вот что в логах
2008-11-13
13:54:49 Notice RULE
6000060 LocalUndelivered TCP lan
192.168.1.3
78.107.ххх.ххх 3389
53019 unhandled_local
drop
ipdatalen=28 tcphdrlen=28 syn=1 ack=1
2008-11-13
13:54:49 Info CONN
600001 dmz_rdp TCP dmz
lan 78.107.ххх.ххх
192.168.1.3 53019
3389 conn_open

satdestrule=dmz_rdp_SAT conn=open

_________________
RadioGubitel

Добрый день, есть вопрос. Статья очень полезная.

Вопрос в следующем - подскажите каким образом можно пустить трафик http с lannet на определенный айпи адрес через DMZ?

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,

Для вас подойдет вот эта ссылка
viewtopic.php?t=93443

Только настраивать надо не для определеного адреса, а для вашего сервиса.

Большая просьба, если у вас есть вопросы, создавайте свою тему. Не надо обсуждать их в чужих топиках.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо большое, помогло.

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,