Что я имею:

Ноутбук и XBOX 360 подключеные к городской локальной сети REDNET (г. Красногорск) через роутер DIR-300.

Подключение к локалке с статическим IP, с настройками шлюза, маски и DNS. В интернет выход через VPN.

Роутер я настроил, все работает нормально, ноутбук и xbox в интернет выходят свободно. И между собой я их кое-как связал.


Что надо:

Я хочу отключить брандмауэр windows и включить межсетевой экран на роутере dir-300.

ВНИМАНИЕ ВОПРОС: как это сделать правильно?

Помогите, пожалуйста, настроить сетевой экран DIR-300, чтобы было "сухо" и комфортно.

Спасибо.

Присоединяюсь к вопросу!

DIR-300 Настройка межсетевого экрана

Не понятно где он включается?
При проверке портов закрыты хотя ни чего не закрывал.

Хотелось бы знать защищена внутренняя сета от инета или нет?

Во внутренней сетке фаервол все время ругается на актиность IP самого маршрутизатора.

Смогут ли через маршрутизатор пробится на мои компы?

Конфигурация такая:
PPPOE поднимается на DIR 300
DIR 300 маршрутизатор 22.33.44.1
Комп 22.33.44.2
Ноубук по WI-Fi 22.33.44.3
Маска подсети 255.255.255.0
Одна рабочая группа у всех в сети
Прописано пропускать только два мак адреса, комп и ноубук и Wi-Fi защищенная с паролем.

Меня интересует защищен ли адрес 22.33.44.1 и если нет, то могут ли через него атаковать адреса 22.33.44.2 и 22.33.44.3

NAT (трансляция сетевых адресов) которую осуществляет Ваш роутер является сама по сути защитным экраном! И не один компьютер снаружи Вашего роутера не сможет подключится к Вашему компьютеру во внутренней сети! За исключением случаев, когда Вы сами делаете пробросов портов на роутере, используете специализированное ПО (вроде Hamachi), ну либо заражены вирусом.
Открытый порт на компьютере ниоткуда не возьмется. Это может сделать только служба, приложение, демон, программа, в том числе вирус, которые открывают порты и слушают обращения к ним. И как только придет пакетик на запрос соединения по этому порту эта служба будет осуществлять соответветствуюшие действия.
Так вот возвращаясь к роутеру. Когда злоумышленник обращается снаружи к Вашему роутеру и сканирует на предмет открытых портов. То он сканирует только порты Вашего роутера. На самом роутере могут быть запущены службы tftp, http (для настройки роутера через WEB-интерфейс), telnet и еще что нибудь. Но все эти службы к Вашей внутренней локальной сети (LAN) отношения иметь не будут (опять же за исключением случаев, когда Вы сами на роутер сделали пробросов портов на компьютеры внутри LAN).
Теперь рассмотрим случай когда у Вас компьютер напрямую, без роутера, смотрит в интернет или локальную сеть провайдера. В этом случае все порты, которые использует Ваша ОС будут, при определенных условиях, отвечать запросам из интернета или из локальной сети провайдера. Поскольку операционная система это сложный механизм управления между железом компьютера, и запущенными на компьтере различными службами и приложениями, то простому пользователю не просто разобраться, разрешать ли операционной системе оставлять те или иные открытые порты или нет. Разрешать ли те или иные сетевые соединения или нет. К тому же все ОС семейства Windows имеют закрытый код. Да и отличить лигитимный процесс на своем компьютере от действия зловредного ПО (вируса) тоже бывает не просто. Допустим Ваш компьютер заразился вирусом и рассылает спам. Вы на своем компьютере закрываете на выход 25 порт. И считаете что Вы перекрыли кислород этому вирусу. Но во-первых Вы сами себя лишите возможности отправлять почту через почтовую программу, во-вторых вирус на Вашем компьютере используя, например 80-порт обратится на WEB-сервер своего создателя и получит новое задание, предположим осуществить DDOS-атаку каких нибудь WEB-сайтов. И что Вы будете делать??? Закроете себе исходящие соединения на 80 порт? Но Вы тогда сами ни на один сайт не попадете.
Какие-же выводы? Используя файрволл Вы должны хорошо представлять, как что работает, и какие порты при этом используются. Иначе толку от Вашего файрволла будет ноль, либо он вообще Вам будет мешать выходить в интернет. Если Вам в этом интересно - разбирайтесь! Если нет, то не думайте, что "интеллектуальные" и "самообучающиеся" файрволлы смогут Вас надежно защитить.
Что делать? Здесь я выскажу только свое личное мнение. Не использовать интеллектуалных файрволлов, которые за Вас решают что делать, кого пускать, кого нет. Польза от них - это только сбор логов сетевой активности, которые Вы потом можете анализировать. Если хотите использовать файрволл, напишите ему правила в которых все запретите и разрешите только те порты какие используете. И если есть возможность старайтесь сужать количество адресов на которые разрешены соединения. Например если у Вас в настройках два DNS сервера, тогда и разрешите только на эти два адреса UDP пакетики на 53 порт и обратно. И самое главное АНТИВИРУСНАЯ программа, должна быть на Windows машинах! Она должна постоянно обновляться и переодически проверяйте полностью свои диски.
И последний вопрос, на который я хочу ответить. Для чего же тогда использовать сетевой экран на роутере. Лично я его использую только в случае, когда надо определленным компьютерам из LAN закрыть доступ к определенным портам или адресам снаружи. Например зараженный компьютер рассылает спам, я для него на роутере закрываю исходящие соединения на 25 порт. После того, как компьютер вылечу открываю.

Спасибо за разъяснение. Получается, что в DIR-130 правила по умолчанию

WAN => LAN Deny, *, All, Always On.
LAN => WAN, Allow, *, All, Always On.

настроены только как бы «для виду»?

На серии DI- эти правила по умолчанию прекрасно работали.
На DIR'ах - не знаю, но тоже должны.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Спасибо Огромное Zr0M за подробный ответ!!!

Понял так, что Нат играет роль фаервола.

Только скажите пожайлуста тогда для чего нужены вкладки: Межсетевой экран и DMZ?Правила приложений? и Перенапровление портов? они у меня не настроены и не заполнены

С вкладкой Управление доступом я разабрался прописал туда мак адреса ноубука и компа и разрешил только им ходить по роутеру.

Я думал что Нат это перенаправление портов? а перенаправление портов у меня пустое тоесть не заполненное.

И еще я так понял ,что Роутер когда поднимает PPPOE сам автоматом поднимает Нат я правильно понял?

Спасибо Всем за ответ.

Получается, что да. Вероятно инженеры D-Link хотели подчеркнуть этими правилами, что любые пакеты с флагом на открытие соединения, со стороны WAN, которые не подтверждены записью в таблице NAT, будут игнорироваться. А пакеты из LAN никак не блокируются.
Пусть меня поправит support D-Link-а, если я не прав.

Если по-короче, то задача НАТ: принять запрос из внутренней сети LAN -> записать в таблицу NAT от какого компьютера с какого порта пришел запрос -> в поле пакета от кого поставить свой адрес WAN -> отправит пакет дальше. Получив из вне на WAN пакет NAT ищет запись о нем в таблице NAT, если находит, то в соответствие с таблицей NAT меняет адрес назначения на внутренний LAN и таким образом запрошенный пакет доходит до внутреннего компьютера.
Да и не только PPPOE, но и PPTP, Static и Dynamic IP.

Но если возникает ситуация, когда Вам надо из WAN, все таки, по своей инициативе попасть на какой нибудь компьютер внутри сети LAN, вот тогда используют Port Forwarding (проброс портов). Например вы на одном из компьютеров установили R-admin (программу для удаленного управления компютером по сети). Настроив проброс одного порта 4899 (по умолчанию) на конкретный компьютер в LAN Вы сможете с помощью Radmina (обращаясь к IP адресу роутера, прописанному на WAN) зайти по Radmin-у на свой внутренний компьютер.
А DMZ - это автоматический пробросов абсолютно всех портов. Т.е. добавление компьютера в DMZ, равносильно тому, что Вы его, как бы напрямую (без роутера) подключили.

Огромное спасибо Zr0M!!! Все понял!!!

Подключен ВПН (Глобальный ип)
Помогите настроить сетевой экран так чтобы из внешки не были видны порты а в локальной сети были. В перенапровление портов использую всего 2 порта 21-фтп и 8767-TeamSpeak.Не могу в межсетевой экране вообще разобраться.
Dir-300

Не кто не может помочь???

Там по умолчанию так и работает: снаружи роутер не виден, изнутри - виден только на 23 и 80 портах. Разрешение доступа снаружи к роутеру - это разрешение удаленного администрирования по HTTP, HTTPS, Telnet. Проброс же портов связывает указанные внешние порты роутера с указанными портами компьютера внутри сети.
Выражение же "в локальной сети были" совершенно непонятно - в локалке порты открываются на компьютерах, а не на LAN роутера...

И еще - отключите в роутере UPnP, иначе рискуете тем, что компьютеры сами начнут открывать порты в роутере.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

объясню так.
Имеет локальный ип провайдером назначеный по локальной сети (на внешку идет уже другой ип так же провайдерский) и имеется подключение по впн ип становится глобальным (сам когда хочу тогда и включаю впн) и комп видин со внехи.
комп назначен как 192.168.0.100 для тгоо чтобы люди могли качать с фпт я сделал перенапровление порта 21 (192.168.0.100). При подключении впн ип меняется и на фпт не зайти (если тока через глобальный ип) пришлось в маршрутизации назначить ФИЗИЧЕСКИЙ ПОРТ на 10.0.0.0 - 255.0.0.0 ну и шлюз свой. Фтп запахало на локалку но получается что через локальный ип могут люди заходить в сети которые и через впна ип внешний со внехи тоже становится видит фпт.
Проще говоря надо сделать так что бы на роутере был подключен глобальный ип через впн. но чтобы комп 192.168.0.100 вообще не был видин с внехи а тока в локалке че не делал всё равно 21 порт получается открытый.

Вот тестом http://www.pcflank.com

21 open FTP File Transfer Protocol is used to transfer files between computers
и
TCP NULL packet non-stealth что это такое я даже не знаю.