http://dlink.ru/technical/faq_firewall_33.php


Правило типа
ping_allow allow wan all_nets core wan_ip ping-inbound

Не подскажу. У меня все так работает. Попробуйте сначала просто через http.

interface: wan
Network: all_nets

Все ваши темы уже обсуждались не раз, воспользуйтесь поиском.

2 YuriAM

Громадное Спасибо!!!!

усе заработало

Возник еще один вопрос....
начальник этой конторы, сказал настройщикам от "оператора" когда они делали канал, что инет должен быть только в одном офисе, а в другом не должно....

получлось что у одной ДФЛ-ки с wan_ip xx.xxx.xxx.193 правила разрешают хттп и прочий инет трафик, а у другой с wan_ip xx.xxx.xxx.194, правила хттп трафик запрещают

поэтому при одинаковых настройках Remote Management'a к 193-му можно подключится, а к 194-му нельзя хотя правило разрешающее пинг обоих wan 193 и 194 из внешенй сети работает.

"telnet xx.xxx.xxx.193 80" из внешней сети проходит, а "telnet xx.xxx.xxx.194 80" увы нет....

Значит для Ремот Менеджмента нужно разрешить подключение к ДФЛ
194 по http???
и какие правила для этого надо из wan разрешить?

Чтобы доступаться к файрволлу по другому порту надо сделать нашу любимую пару правил вида:

TestWebMan SAT wan all_nets core wan_ip rdp
TestWebMan Allow wan all_nets core wan_ip rdp

и в правиле SAT указать адрес wan_ip и порт 80.

Разумеется, вместо сервиса rdp надо указать какой-то ваш.

Возникла такая задачка, нужно чтобы:

DFL-800 с адресом 193, перенаправлял соединения из интернета, на конкретный IP спрятанный за DFL-800 с адресом 194...
По типу как это делает Радмин, там можно указывать, с ками адресом и через какой адрес Радмин сервера соединятся.... если ПК А имеет выход в инет, а ПК В соединен с ПК А по локальной сети... в Радмине можно указать IP адрес, ПК В и соединятся через ПК А...
вот нечnо похожее нужно реализовать с помощью двух DFL, чтоб из инета через 193, соединится с ПК, который за 194 DFL

Ничё не понял. Схемку лучше набросайте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вот как-то так
Интернет <==> WAN1: XX.XXX.XXX.193 DFL A <=> Core DFL A <=> WAN1: XX.XXX.XXX.193 DFL A < => WAN2: XX.XXX.XXX.194 DFL B <=> Core DFL B <=> LAN2: 192.168.2.0/24 <=> LAN2 host 192.168.2.3

и обратно в интернет через DFL A

а теперь теория

есть канал между 2-мя зданиями, предоставляемый оператором через свою среду, на обоих концах этого канала стоят по два DFL-800:
DFL A:
WAN1: XX.XXX.XXX.193
IP: 192.168.1.1
LAN1: 192.168.1.0/24
и
DFL B:
WAN2: XX.XXX.XXX.194
IP: 192.168.2.1
LAN2: 192.168.2.0/24

прописано правило Lan1-to-lan2, с разрешением всех ТСР портов all_tcp т.е. Полноценная локальная сеть из LAN1 в LAN 2.
Но проблема в том, что на DFL A, есть доступ в Интернет и из Интернета к DFL A. А вот из LAN2 которая находится за DFL B доступа в интернет и обратно нет

Хотелось бы чтобы запросы направляемые из Интернета к DFL A на WAN1: XX.XXX.XXX.193, перенаправлялись в сеть LAN2 которая находится за DFL B: WAN2: XX.XXX.XXX.194. т.е. Если я правильно понимаю надо перенаправлять запросы приходящиие из Интернета в порт WAN1: XX.XXX.XXX.193, обратно через этот же порт, в WAN2: XX.XXX.XXX.194 другого DFL B и затем в сеть LAN2: 192.168.2.0/24, которая находится за DFL B.

Вот сейчас на практике приходится все время держать включенным 1 ПК который находится за DFL A WAN1: XX.XXX.XXX.193, с установленным Радмин Сервер, который перенаправляет соединение на Радмин Сервер установленный в сети LAN2: 192.168.2.0/24

т.е. Чтобы подключится Радмином к ПК с адресом 192.168.2.3 необходимо в настройках Клиента Радмина указать подклчатся к ПК с адресом 192.168.2.3, через промежуточный сервер с адресом WAN1: XX.XXX.XXX.193.

Таким образом нужно чтобы DFL A перенаправлял запросы со своего внешего адреса, во внутреннюю сеть за DFL B с WAN2: XX.XXX.XXX.194

я так подозреваю что нужно настроить перенаправление портов с WAN1: XX.XXX.XXX.193, на LAN2_ip: 192.168.2.3 который находится за WAN2: XX.XXX.XXX.194

http://dlink.ru/technical/faq_firewall_33.php корячил и так и сяк эту настройку, не помогло

Очень мне понравилось длинное описание. Вот всегда бы так описывали проблему, чтоб клещами не тянуть.

Прежде чем что-то посоветовать, хочется уточнить как соединены между собой сети LAN_A и LAN_B. Через IPSec или просто через сеть провайдера настроена прямая маршрутизация?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

прямая маршрутизация

Будет работать стандартный проброс портов. Вы пробовали?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

т.е. должно быть так?



И в качестве SAT Destination IP Address указываем адрес того хоста что находится в сети LAN2 например ip: 192.168.2.3 и ставим нужный порт?

Так получается?

а на втором DFL-B что-то надо писать?

причем в Логах пишется что DestIP тот который 193, а если я правильно понимаю должен быть 194? и еще он дроппит почему то его ruleset_drop_packet drop

Правильнее так. Хотя и ваш вариант рабочий. Просто я стараюсь никогда не открывать ничего лишнего. Поскольку так правильнее и более четко понятен смысл настроек.
1. rule_SAT SAT wan1 all-nets core wan1_ip (Нужная служба)
2. Allow_rule Allow wan1 all-nets core wan1_ip (Нужная служба)
Кстати, вместо all-nets можно указать группу разрешенных к сдоступу сетей. Так безопаснее.
И еще. Если заменить правило Allow на NAT тоже должно работать и при этом ничего на втором DFL менять не придется.

Да. На втором DFL надо указать одно разрешающее правило Allow.
Видимо, с вашей прямой маршрутизацией будет нечто вроде
Allow_Radmin Allow wan1 all-nets lan server2_ip (Нужная служба)

да

Должен быть 193, т.к. вы на него обращаетесь из инета. Но дропить не должно, т.к. у вас есть разрешающее правило.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.