Добрый день.
Подскажите пожалуйста как правильно настроить фаервол если:

1)
Надо настроить маршрутизацию чтоб с ЛАН1(192.168.200.1) пользователь мог пользоваться ресурсами ЛАН2(192.168.201.*)

Что и как надо настроить?

-Пробовал создавать правило чтоб пропускало All_service ... - результата нет.


2)
Каким образом лучше настроить если:

Есть 3 подключения к интернету
-ИП для почты (назовем 1А)
-ИП для серфинга (назовем 1В)
-ИП для ВПН (назовем 1С)

В DMZ будут находиться:

-Proxy
-Почта
-Web-server(локального назначения)
-OpenVPN

Требуется чтоб из вне был доступ исключительно для pop3,smtp,OpenVPN

В тоже время для ЛАН1 и ЛАН2(это будет отдельное подразделение подключившихся по ВПН)был доступ к pop3,smtp,imap,80,443,MSSQL,RDP,22


3)Общая пропускная способность DFL-1600 равна 320 Мбит/с.?Интересует его пропускная способность чисто как фаервола и маршрутизатора,а на подключения ВПН....


ЗАРАНЕЕ СПАСИБО ЗА ОКАЗАННОЕ СОДЕЙСТВИЕ!!!!

Ваша задача почти тривиальна и решается

1) настройкой интерфейсов - параметры физических подключений, адреса
2) добавлением альтернативных таблиц и PBR для разведения трафика по WANам - смотрите FAQ
3) добавлением правил в соответствии с вашими требованиями

Некоторые ньансы может наложить лишь то, какая у вас будет адресация в DMZ - белая или серая. А в остальном - все без проблем.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо что откликнулись.

ipЛан1 - 192.168.200.1 Лан1net - 192.168.200.*
ipЛан2 - 192.168.201.1 Лан2net - 192.168.201.*

DMZ - 17.20.1.*
-Proxy - 17.20.1.10
-Почта - 17.20.1.11
-Web-server(локального назначения) - 17.20.1.12
-OpenVPN - 17.20.1.13

WAN1 - IP для почты (назовем 1А) + для серфинга (назовем 1В) (насколько я понял он поддерживает vLAN потому думаю будет так - или почту за виду на сервак,а этот только для серфинга будет)
WAN2 - IP для ВПН (назовем 1С)

С правилами доступа по портам - думаю разберусь,но не могу банально разобраться как настроить маршрутизацию...

Маршрутизация на LAN*, DMZ и физические WAN (в пределах маски) у вас заработает сама. Далее, настройте по метрикам (с мониторингом) приоритеты маршрутов и основной внешний канал для DFL.

Далее разрешайте внешний трафик со всех интерфейсов и делайте перенаправление определенного исходящего трафика (п.2).
Для обоих задач добавляйте по альтернативной таблице маршрутизации на каждый интерфейс с единственным дефолтным маршрутом на соответствующий интерфейс.
Для поддержки входящего трафика делаются PBR вида forward main, return <alt>, all-services <if>/all-nets any/all-nets.
Для заворачивания внутреннего трафика по определенному протоколу - forward и return меняются - forward <alt>, return main, <service> lan/lannet any/all-nets. В последнем примере any можно заменить на wans = группу из всех wan интерфейсов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за разъяснения,завтра буду пробовать.

Вот только забыл уточнить что у меня
Маски внутренних под сетей \24 т.е. 255.255.255.0
И соответственно сама не поднимается...Как можно решить эту проблему?

Извините пожалуйста,что-то заело у меня и не могу сообразить

Так у вас же сети 192.168.200.0/24 и 192.168.201.0/24 - они не пересекаются.

Покажите схему и ваши настройки. Либо вы чего-то не говорите, либо не понимаете.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

+ скорее всего вы правы...

ИНЕТ --- DFL-1600
wan1-IP для почты (назовем 1А) + для серфинга (назовем 1В)
wan2- IP для ВПН (назовем 1С)
DMZ-17.20.1.1
-Proxy - 17.20.1.10
-Почта - 17.20.1.11
-Web-server(локального назначения) - 17.20.1.12
-OpenVPN - 17.20.1.13
lan1-192.168.200.1 Лан1net - 192.168.200.*
lan2-192.168.201.1 Лан2net - 192.168.201.*
lan3

Сети не пересекаются,НО у lan1-192.168.200.1,255.255.255.0 - на рабочих машинах я указываю его адрес как шлюз 192.168.200.1

У меня таким же образом работает Win2K3 с 4 сетевыми , 1-й и 2-й его интерфейс указан как шлюз и пинги,обращения спокойно проходят в другую под сеть...

Между LAN'ами вам достаточно сделать правила
allow lan1/lan1net lan2/lan2net all_services
allow lan2/lan2net lan1/lan1net all_services
Упростить можно, объединив в группу lans интерфейсы lan1, lan2 и объекты lan1net, lan2net в группу lans_nets. Тогда будет правило
allow lans/lans_nets lans/lans_nets all_services

По поводу доступа в DMZ - вам надо будет делать соответствующие SAT+allow правила для порт-маппинга, а также allow правила для доступа из LAN'ов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вы хотите сказать что одна внутренняя сеть подключена к локальному интерфейсу, а другая, удаленная, подключается через VPN (IPSec, PPTP)? Так?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Судя по описанию, я понял что это физические интерфейсы
Хотя схемы так и не было

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я тоже вначале так подумал по названям Лан1, ЛАН2. Поэтому и спрашиваю.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это физические порты на ДФЛе.

allow lan1/lan1net lan2/lan2net all_services
allow lan2/lan2net lan1/lan1net all_services

Это первое что я делал....потому и спросил,может что не так.
Результата не дал!

Пробовал из объединить в ip4-группу ... результат тот же...

Ищите проблемы в маршрутизации комп-в или их шлюзах по умолчанию.

Для теста сделайте эти правила NAT

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

По поводу шлюза - естественно, DFL должен быть шлюзом в обоих сетях или allow надо менять на NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо!!!
Вот и нашлась моя ошибка на шлюзе(сервере) в одной подсети подправил маршрут на DFL

Немного огорчило что при перекачки файла с одной подсети в другую на скорости порядка 256Мбит - загруженность проца -61% и почувствовалась тормознутость отклика на кнопки на самом аппарате...и веб...

Буду разбираться дальше,СПАСИБО