Здравствуйте, уважаемые коллеги.

Вопросы у меня наверное для этого форума ламерские, но не обессудьте. Постараюсь сформулировать пристойно

Раньше имел дело в основном с пакетными фильтрами linux и bsd, а тут в руки попал dfl-210... красиво, ничего не скажешь. Документов много, howto всяких. Но вот не смог решить несколько вопросов.

Во-первых и в главных - не смог дать доступ к dmz из локальной сети. Схема - как описано в NetDefendOS_2.25.01_Firewall_UserManual_V1.08.pdf. Т.е. есть дефолтные правила NAT для исходящих пакетов из lannet в wan, и к ним присовокуплены три правила: правило SAT, отправляющее трафик идущий на wan_ip в dmz_host, аналогичное правило allow и правило, которое NATит весь трафик во все стороны для dmz_net.
Так вот, при создании таких правил для wan (т.е. sat: wan->dmz), все отлично отрабатывается. А вот такое же для lan почему-то не работает. Подозреваю, что намудрил с nat... но пока не могу понять, где именно.

Вопрос второй (а скорее даже два в одном): правильно ли, что любые правила форвардинга должны дублироваться этим самым allow? Просто в некоторых фильтарх это тождественно. Четкого указания на это я не нашел, но понял так из приводимых примеров.
И чем отличаются правила SAT и fast forwarding? Последний тоже задает измененный хост назначения, не разрешает разве что сменить порт назначения.

Можно тыкать носом в параграфы мануала и ветки форума, не обижусь. Беглым поиском нужного не нашел, ну не обессудьте, возможно вам будет быстрее дать линк, чем мне читать все досконально.

Заранее благодарен.

Покажите все ваши правила.

SAT применяется в основном для смены адреса назначения при форвардинге портов.
fast forward - в основном, в случаях, когда в IP подсети более одного шлюза в другие сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

спасибо за информацию по sat/forwarding.
вечером доберусь до устройства - сниму конфу, чтобы не быть голословным

Настройте удаленное управление, чтоб из любого места добираться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"шутку понял, смешно" (с)

ну сам напросился, согласен. просто она не настроенная никому не нужна, и даже напротив, излишня. Поэтому лежала выключенной дома. Тут никаким удаленным доступом не добратсья.

Ок, не возражаете, если я не буду прилагать скриншоты?

Вот общие правила, которые были установлены по дефолту:
1 ping_fw Allow lan lannet core lan_ip ping-inbound

и группа lan_to_wan
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet any all-nets all_tcpudp

а вот то, что я добавил:
группа all_to_dmz
1 allow-smtp-ext SAT wan all-nets core wan_ip smtp
2 allow-smtp-int SAT lan lannet wan wan_ip smtp
3 allow-smtp-ext Allow wan all-nets core wan_ip smtp
4 allow-smtp-int Allow any all-nets dmz gtw-server smtp

Ну, соответственно, SAT правила смотрят на сервер gtw-server, который находится в DMZ

и еще
1 allow-out NAT dmz gtw-server any all-nets all_services

вот кажется так в последний раз было. На ночь глядя вчера замусорил конфу... трудно припомнить, как точно планировал. Но по идее должно быть так.

Да, и кстати - интерфейс "core" - это "внутренний трафик"? Т.е. что-то типа 127.0.0.0 в iptables?

Спать хочу. Поэтому быстро:

Правим вот что

4 allow_standard NAT lan lannet wan all-nets all_tcpudp
Избегаем any везде

Это проброс на почт сервер
1 allow-smtp-ext SAT wan all-nets core wan_ip smtp-in
3 allow-smtp-ext Allow wan all-nets core wan_ip smtp-in

непринципиально, но smtp-in точнее, так как более защищен

А это не знаю как править, т.к. не до конца понял, чему это служит. Поясните

2 allow-smtp-int SAT lan lannet core wan_ip smtp
2 allow-smtp-int NAT lan lannet core wan_ip smtp
Это NAT loop back из лок сети на ваш внешний адрес

4 allow-smtp-int Allow lan lannet dmz gtw-server smtp-in
Это доступ из локальной сети в DMZ

и еще
1 allow-out NAT dmz gtw-server wan all-nets all_services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ОК, спасибо. С пробросом извне и форвардингом вроде разобрался. Смысл и назначение core вроде тоже ясно стало.

Теперь, если не трудно, подскажите, как можно (и можно ли?) сделать вот что:
В dmz есть веб и почтовый сервер. Я хочу, чтобы пользователи не меняя настроек, попадали обращаясь к wan_ip в dmz...
Собственно те правила, которые вы просили разъяснить тому и предназначались.

allow-smtp-int SAT lan lannet core wan_ip smtp (т.е. обращение к wan_ip из локалки должно прийти в dmz... ну и вернуться естественно.

Но получается так, что если я делаю SAT-правило для all-nets и с интерфейса wan - все проходит отлично. А вот из локалки, видимо теряется за NAT. Я так предполагаю, потому что вижу в логе такое:

6000060 LocalUndelivered
Src 192.168.0.100
DstIP xxxxxxxxxx (wan_ip)
DstPort 25
unhandled_local
drop

Т.е. запретительных правил не нашлось, а что дальше с пакетом делать - не ясно.

Достаточно часто для удобства люди, в том числе я, настраивают проброс портов снаружи и NATLoopBack изнутри.

Получается вот что:

Проброс портов снаружи

SAT wan all-nets core wan_ip smtp-in
Allow wan all-nets core wan_ip smtp-in

Изнутри - это NAT loop back из лок сети на ваш внешний адрес

SAT lan lannet core wan_ip smtp-in
NAT lan lannet core wan_ip smtp-in

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

совершенно верно. так примерно я правила и построил.

сейчас есть (в том же порядке, как привожу здесь)
dmz
1 all-lannet-wanip Allow lan lannet core wan_ip all_services
2 allow-out NAT dmz gtw-server wan all-nets all_services
3 allow-out-lannet NAT dmz gtw-server lan lannet all_services
4 allow-smtp-ext SAT wan all-nets core wan_ip smtp-in
5 allow-smtp-ext Allow wan all-nets core wan_ip smtp-in
6 allow-smtp-int SAT lan lannet core wan_ip smtp-in
7 allow-smtp-int NAT lan lannet core wan_ip smtp-in

fwd
1 allow-imaps-ext SAT wan all-nets core wan_ip imaps
2 allow-imaps-int SAT lan lannet core wan_ip imaps
3 allow-imaps Allow wan all-nets core wan_ip imaps
4 NAT-imaps-lannet NAT lan lannet core wan_ip imaps

lan_to_wan
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp

здесь есть немного несуразицы. но условимся, что imaps сервер - просто в локалке 192.168.0.0/24, а smtp - в dmz 172.17.100.0/24

так вот как вы и предлагали - правила fwd работают... не удается добиться того же для ДМЗ

...честно говоря, при такой конфигурации я подумываю - а не отказаться ли от ДМЗ подсети в принципе? все равно она получается не слишком демилитаризованной )))

хм... миль пардон за флуд... видимо "глаз замылился". заработали правила-то. проще поверить, чем понять.

1-е правило в папке dmz бессмысленное, его надо удалить.
3-е правило слишком наглое. Его тоже надо удалить. Зачем серверу из DMZ иметь полный доступ в lan? Так дискредитируется сама идея ДМЗ.

А идея дмз в том, чтобы там разместить подверженные риску извне серверы. Дать только необходимый доступ к ним из локальной сети. А им не давать доступа в локальную сеть вовсе. Чтобы в случае, если их все же взломали снаружи, то не могли через них вломиться в локальную сеть.

2-е правило тоже не вполне здоровое, если только там не стоит прокси сервер для доступа в инет по многим (всем) протоколам.

По идее, в ДМЗ сети входящий и исходящий трафики должны быть строго ограничены.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Согласен и смысл и назначение dmz представляю себе.

Эти правила были, так сказать, отладочные. Чтобы не запариваться с уточнениями.

Сейчас группа dmz выглядит так:

1 allow-out NAT dmz gtw-server wan all-nets DMZ_services
2 allow-out-lannet NAT dmz gtw-server lan lannet DMZ_services
3 allow-DMZ_services-ext SAT wan all-nets core wan_ip DMZ_services
4 allow-DMZ_services-ext Allow wan all-nets core wan_ip DMZ_services
5 allow-DMZ_services-int SAT lan lannet core wan_ip DMZ_services
6 allow-DMZ_services-int NAT lan lannet core wan_ip DMZ_services

ну и DMZ_services - группа портов, которые обслуживает gtw-server

согласны? такая конфигурация будет правильной?

В общем случае сервисы на вход и выход различны. А у вас они одинаковы. Опять же зачем серверу из дмз давать доступ во внутр сеть? Это относительно правил 1-2.

К правилам 3-6 претензий нет

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.