D-Link • Просмотр темы - Firewall на DI-804HV и работа его правил?

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Firewall на DI-804HV и работа его правил?

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Venberg

Заголовок сообщения: Firewall на DI-804HV и работа его правил?

Добавлено: Пн май 16, 2005 19:05

Зарегистрирован: Ср сен 08, 2004 18:09
Сообщений: 3
Откуда: Saint-Petersburg

Доброго времени суток господа. Ни как не могу понять работу правил firewall в DI-804HV.
Настроил VPN между двумя DI-804HV, но правила в firewall не менял и все работает.

Рискнул и написал правило Deny *,* *,* *,* а он все равно работает.

На самом деле очень хочется запретить любой (входящий/исходящий) внешний траффик, кроме как между двумя DI-804HV.
Не могу найти такого живого примера.

Буду очень благодарен.

Вернуться наверх

Sergey Sivcov

Заголовок сообщения:

Добавлено: Вт май 17, 2005 08:29

Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk

Пример настройки firewall есть у нас в faq http://www.dlink.ru/technical/faq_internet_30.php

Вернуться наверх

vgd

Заголовок сообщения:

Добавлено: Вт май 31, 2005 13:06

Зарегистрирован: Вс янв 16, 2005 22:29
Сообщений: 4
Откуда: Екатеринбург

Аналогично первому автору не могу понять логику работы файрвола линейки DI-xxx.

Дано: локальная сеть, имеющая выход в Интернет через DI-824VUP+. Есть некий ресурс в Интернете, на котором запущен сервис ssh.
Задача: разрешить выход из локалки _только_ на этот ресурс.

Когда правила по умолчанию используются - все работает отлично (т.е. у нас три правила по умолчанию - разрешить все изнутри наружу, запретить все снаружи внутрь и разрешить icmp на wan-порт устройства).
Прописываем еще два правила - запретить все изнутри наружу и разрешить изнутри (LAN) со всех адресов наружу (WAN) на конкретный IP адрес доступ по любому из протоколов (*) на любой порт (*).

При этом icmp ходят ТОЛЬКО на указанный адрес (что и требуется), но вот ssh-клиент отваливается по таймауту. И устройство пишет в логах:

Tuesday May 31, 105 15:06:45 Blocked access attempt from 195.64.xxx.xxx:22 to TCP port 57279

Как победить?

Вернуться наверх

Sergey Sivcov

Заголовок сообщения:

Добавлено: Ср июн 01, 2005 11:44

Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk

Кроме правил по умолчанию необходимо добавить два правила в готовом виде это будет выглядеть так
Action Name Source Destination Protocol
1. Allow test1 LAN,* WAN, XXX.XXX.XXX.XXX *,*
2. Deny test LAN,* WAN,* *,*
Далее правила по умолчанию
XXX.XXX.XXX.XXX - это ip адрес сервера куда нужен доступ.

Вернуться наверх

vgd

Заголовок сообщения:

Добавлено: Ср июн 01, 2005 14:37

Зарегистрирован: Вс янв 16, 2005 22:29
Сообщений: 4
Откуда: Екатеринбург

Сергей, прошу прощения, но Вы невнимательно читаете сообщение. Я написал, что эти правила мной прописаны. Обычный трафик ходит (скажем, http по tcp, icmp-пакеты), а вот ssh - нет.

Но проблема уже решена Вашим коллегой из Екатеринбурга - необходимо выключть режим SPI и защиту от DoS-атак.

Вернуться наверх

Sergey Sivcov

Заголовок сообщения:

Добавлено: Ср июн 01, 2005 14:41

Сотрудник D-LINK

Зарегистрирован: Ср янв 26, 2005 09:50
Сообщений: 926
Откуда: Novosibirsk

Прошу прощения, ssh сервера под рукой не было чтобы до конца проверить.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: bayaya, Google [Bot] и гости: 321

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения