Где узнать поподробнее, что это за режимы, на что имеено влияют в DI-804HV v1.40b4?

Неплохо бы было уже фак сделать по режимам.. так как нигде не написано (((
в частности di-824vup+
раздел aplication... как роутер распознает приложение?
и какое преимущество использовать это перед маппингом портов?

Осмелюсь повторить вопрос:
- что такое SPI?
- как работает DoS?
- в каких случаях каждый из режимов следует включать?
- как это сказывается на работе устройства?

SPI -- stateful packet inspection.
DoS -- denial of service
Включение SPI переводит устройство в режим более "умного" NAT, без него NAT работает по таймауту, без анализа состояния соединения. Включение DoS позволяет устройству блокировать адреса, с которых производятся атаки. Оба этих режима желательно включить. Но их включение увеличивает нагрузку на устройство.

_________________
С уважением -- Александр Шебаронин.

При включении SPI я вижу в протоколах демона ntp (на одной из защищаемых машин) постоянные сообщения о пропадании и возобновлении доступа к опорным серверам ntp.

Я полагаю, что тайм-аут в NAT несколько коротковат. Врядли он соизмерим с ~40 минутами.

Я на DI-824VUP+ отключил SPI, потому что сайты не до конца загружались. У Стрима в час-пик нагрузка большая, соответственно роутер закрывает соединение, если нет отклика от сервера примерно более 20-25 секунд. Поэтому для точного отображения страницы приходилось делать рефреш. Короче, надоело это и я отключил SPI. Теперь никаких проблем.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, и вопрос по ходу темы: а в каких случаях срабатывает защита от DoS? Сколько должно быть просканировано портов с одного IP, чтоб этот IP стал заблокированным? Вот я сканировал подряд порты (1000 шт.) и ничего. IP не блокировался.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Кратко о SPI (Stateful Packet Inspection)

Проверка пакетов с учетом состояния протокола (Stateful Inspection). При этом пакет перехватывается на сетевом уровне, после чего его проверкой занимается виртуальная машина. Она извлекает информацию о контексте, необходимую для принятия решения, со всех уровней и сохраняет эту информацию в динамических таблицах для проверки последующих пакетов. Когда клиент запрашивает сервер, находящийся за пределами внутренней сети об открытии обратного соединения, при включенном SPI роутер извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение со стороны внешней сети, роутер просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.
[/img]