АУ всем!!!

Так что, есть какие-нибудь идеи ???

Все еще жду Вашей помощи.

Сергей

Повторите все, что у вас не работает

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С моей машины (172.16.1.100, 10.15.11.75) на DFL - lan_ip (10.15.11.200) и на lan1_ip (172.16.1.12) пинг идет.

А обратно, пинг с DFL-а идет все время от адреса 10.15.11.200, т.е от lan_ip.

Т.е. я с DFL-а выполняю пинг на адрес 172.16.1.100

На машине с этим адресом делаю tcpdump и вижу, что пакеты идут с адреса 10.15.11.200, т.е от lan_ip.
Вот это и есть проблемой.
Нужно, чтобы при указанном пинге пакеты шли от адреса lan1_ip (172.16.1.12)

Помогите пожалуйста.

Всю запрошенную Вами информацию выложил в теме.

Сергей

Вам в маршруте на lan1net надо указать лок. адрес lan1_ip. Насколько я понимаю, для вас этот пинг ничего полезного не делает.

Полезное будут делать разрешающие правила, если они нужны. Вида:

Allow lan lannet lan lan1net all-services
Allow lan lan1net lan lannet all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за помощь!

Разрешающие правила сделал.
А вот на счет маршрута не понял.

Разве в моей таблице (2-я строка сверху) это не то, что Вы предлагаете ?

Если возможно, приведите пожалуйста все необходимые строки маршрутизации (дополельно к существующим по-умолчанию) в "натуральном" виде.

Еще раз привожу таблицу с указанной строкой.


После внесения разрешающих правил (новых маршрутов я не добавлял - жду пояснений) ситуация не изменилась.
При этом, я проверил, что результат выполнения команды Ping на сеть local1net в лог не попадает !!!
Обратный Ping на сеть localnet в логе есть.

Что посоветуете??

P.S, Ping я использую просто для контроля источника пакетов.


Спасибо.
Сергей.

Да. Это то, о чем я говорил.

В общем-то, я не вижу смысла с этим бороться. Этот пинг вам корректировать ни к чему. На сетевой карте несколько адресов в lan.
Она обращается в lan c основного или первого в списке. Что в этом неправильного?

Можно попытаться это скорректировать правилами

SAT core lan-ip lan lan1-net (здесь подменить адрес источника на lan1_ip)
allow core lan-ip lan lan1-net

Но сомневаюсь что это сработает, так как пинг DFL делает сам без всяких правил. Видимо, в обход их.

А самый простой вариант поменять lannet и lan1net местами и тогда пинг DFL будет делать с нужного вам адреса.
Т.е. сеть 172.x.x.x сделать основной, lannet.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Дело в том, что собственно сам Ping мне не особенно то и нужен. Мне просто так объяснять проблему было проще. Дело в том, что при настройке синхронизации времени от внешнего сервера, я указывал как раз сервер из сети lan1net. Синхронизация не происходила. TcpDump на сервере показал, что запросы к NTP серверу идут от адреса lannet, а не от адреса специально для этого созданного алиаса в сети local1net. Потом я проверил Ping - то же самое.

Вот поэтому я и задавал вопросы только по Ping-у.

Обновление времени я сегодня (после изменений согласно Ваших рекомендаций) еще не пробовал - завтра сделаю, но боюсь, что результат будет аналогичным Ping-у.

Тогда промежуточных осталось 2 вопроса - чтобы идти дальше:

1. Так Ping с алиаса должен идти от какого адреса? Это как-то регулируется??
2. Почему результат работы такого Ping-а не попадают во внутренний лог DFL-а ??

Поможете разобраться?

Сергей

Прочтите конец моего предыдущего сообщения. Я его дописал, пока вы писали своё. Я полагаю, это решит проблему.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Добрый день!
Спасибо за совет. Сегодня попробовал - работает.
Это, конечно принципиально проблему не решает (полноценная работа с несколькими сетями на LAN). Поэтому жду ответа от представителей Dlink -а. Хочется все-таки понять - почему пинги и запросы на обновление времени идут только от lannet, но не от lan1net ?????

Еще вопрос:
Счас плотно начал работать с внутренним логом DFL и обнаружил, что кроме правил, которые явно описаны в IP RULES, в логе присутствуют следы иных правил:

1. Default_Rule
2. Default_Access_Rule
3. TTLOnLow

и т.д.

Подскажите пожалуйста, как посмотреть содержимое этих правил.
Можно ли их изменять?

Спасибо,
Сергей

По-моему, это решает проблему. Много ли у вас будет запросов с самого DFL? Ну да ладно, прекращаю спорить.

Посмотрите в руководстве по логам. Потом можно еще в основном руководстве взглянуть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Добрый день!
Вопрос по правилам в логах решить не смог, хотя честно просмотрел указанные источники.

Вот конкретный пример:


Dec 10 10:41:53 dfl-210.localnet [2009-12-10 10:41:52] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan srcip=208.43.95.234 destip=194.114.132.90 ipproto=TCP ipdatalen=20 srcport=80 destport=2593 syn=1 ack=1

В инструкции по коду 06000051 находим следующее описание:

2.32.7. ruleset_drop_packet (ID: 06000051)
Default Severity WARNING
Log Message Packet dropped by rule-set. Dropping
Explanation The rule-set is configured to drop this packet.
Gateway Action drop
Recommended Action If this is not the indended behaviour, modify the rule-set.
Revision 1
Context Parameters:
Rule Information
Packet Buffer

Собственно вопрос:

1. Где найти эти 2 параметра:
Rule Information
Packet Buffer
Искал в Advanced Settings
2. Где в настройках DFL найти это правило
3. Как его найти (алгоритм)
4. Как изменить (modify the rule-set)


Очень надеюсь на Вашу помощь!
Представители DLINk-а ГДЕ ВЫ ???

Сергей

Default_Rule и Default_Access_Rule - правила, по умолчанию запрещающие доступ ко всему. Ибо главное правило на DFL и других серьёзных файрволлах - "запрещено все, что не разрешено".

Они не редактируются и применяются всегда, если обработчик достиг конца списка всех указанных вами правил. Это относится к логике работы устройства и описано в руководстве.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо,
а как следует тогда понимать информацию из Manual_Log:

Recommended Action If this is not the indended behaviour, modify the rule-set.

Я так со своим небольшим знанием английского понял, что в случае необходимости рекомендуется изменить rule-set
Раз рекомендуется изменить, значит это можно где-то сделать?

Или я не прав?
Вот и вопрос был - как это сделать и где?

Хотелось бы также узнать общий алгоритм поиска параметров настроек DFL, касающихся конкретных правил.
А данное правило взято для примера. Есть еще другие (не те которые явно описаны в IP Rules

Так что все еще жду пояснений.
Спасибо,
Сергей

"Если это поведение вас не устраивает, то изменяйте правила".

Другими словами, "если тебя именно этот протокол не интересует, то забей".

В логи пишется информация о запрещенном трафике. И это нормально.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Т.е. имеется ввиду, что ежели я хочу изменить ситуацию, то должен скорректировать какие-то правила, которые могут повлиять на поведение системы, а не само правило Default_Rule ????

Так это следует понимать?

И еще.
Например в IP Tables я могу изменить настройки по-умолчанию. Типа все по-умолчанию запрещено или разрешено.
А тут как?

Сергей