Добрый день,

Есть шлюз DSA-3100. Есть несколько вопросов по нему:

1. При подключении снаружи через ssh получаю очень ограниченные возможности по управлению шлюзом. Это by design?

2. Подключиться извне по ssh и по https можно только с того IP-адреса, который указан в настройках шлюза. Так?

3. Опытным путем выяснилось, что firewall по умолчанию открыт (т.е. если не активировано ни одно правило, то он разрешает весь трафик). Правильное заелючение?

4. Правила firewall проверяются последовательно начиная с 1-ого, и применяется первое правило под которое подпадает пакет. Так? Т.е. нет ли в firewall чего такого, типа что правила block имеют больший приоритет чем pass и т.д.

5. Схема подключения моего шлюза такова:


- PriLAN Port - сетевой коммутатор - PC1 .. PC10
Интернет
- PubLAN Port - сетевой коммутатор - AP1 .. AP10 - клиенты


где AP - Access Point, PC - компьютер, клиенты - "люди, купившие тикеты"

PriLan Port настроен в режим NAT без DHCP, подсеть 192.168.1/24. PubLan Port настроен в режим NAT_IP_PNP с DHCP, подсеть 192.168.0/24. WAN имеет static IP. Все PC имеют static IP из сети 192.168.1/24. Все AP имеют static IP из сети 192.168.0/24.

Мне нужно, чтобы:
1) клиенты из PubLAN имели доступ только в Интернет.
2) из PriLAN можно было бы управлять всеми AP и шлюзом.
3) нельзя было бы из WAN подключиться к любому компьютеру из PriLAN или PubLAN

Для этого я сделал правила:
1) Для каждой точки по два правила:
Action=Pass
Protocol=ALL
SourceMAC=<Empty>
Source=PubLN
Address=192.168.0.2 (это адрес первой AP)
Subnet Mask=255.255.255.255/32
Destination=PriLN
Address=192.168.1.0
Subnet Mask=255.255.255.0/24

и

Action=Pass
Protocol=ALL
SourceMAC=<Empty>
Source=PriLN
Address=192.168.1.0
Subnet Mask=255.255.255.0/24
Destination=PubLN
Address=192.168.0.2 (это адрес первой AP)
Subnet Mask=255.255.255.255/32

2) После правил для всех AP добавил два запрещающих правила:

Action=Block
Protocol=ALL
SourceMAC=<Empty>
Source=PubLN
Address=192.168.0.0
Subnet Mask=255.255.255.0/24
Destination=PriLN
Address=192.168.1.0
Subnet Mask=255.255.255.0/24

и

Action=Block
Protocol=ALL
SourceMAC=<Empty>
Source=PriLN
Address=192.168.1.0
Subnet Mask=255.255.255.0/24
Destination=PubLN
Address=192.168.0.0
Subnet Mask=255.255.255.0/24

Вопрос: надо ли сделать еще какие-то настройки в интерфейсах и/или firewall? Или вышеописанные настройки не годятся?

Заранее спасибо за ответы.

Да, наиболее полное управление реализовано через веб.

Верно.

Правильно. Чтобы вы могли сразу подключать пользователей, без дополнительных настроек файрволла.

Заключение верное. Приоритета ни у каких правил нет. Просматриваются по порядку, как только пакет удовлятворяет условиям правила -- просмотр прекращается.

Нет, вроде все правильно.

_________________
С уважением -- Александр Шебаронин.

Большое спасибо, Александр, за оперативные ответы.

Еще парочка:

1. Хотелось бы в firewall написать разрешающие правила для доступа извне только на определенные порты, а все остальное явно запретить. Так вот, пытаюсь поэкспериментироваьть и запретить ssh (чтобы потом просто инвертировать правило заменив block на pass), но порт 22 всегда остается работать, т.е. не закрывается.

Правило я применяю следующее:

Action=Block
Protocol=TCP
SourceMAC=<Empty>
Source:
IF=ALL
Address=<Empty>
Start Port=<Empty>
End Port=<Empty>
Subnet Mask=255.255.255.255/32
Destination:
IF=WAN
Address=85.23.54.76 (это внешний IP-адрес шлюза)
Start Port=22
End Port=22
Subnet Mask=255.255.255.0/24

Такая же ситуация и с виртуальными серверами - я пробросил несколько портов для Remote Admin-а, доступ по ним работает нормально, а вот прикрыть их firewall не получается - они всегда остаются открытыми. То же самое и с портом 80. В чем собака зарыта?

2. Как я уже сказал, я пробросил извне порты для RAdmin-а, и этот туннелинг работает без проблем (сделал по два правила - для TCP и UDP). А вот пробросить, например, порт 8100 на 192.168.0.2:80 (это точка доступа) не получается. Это было бы удобно для управления извне самими точками доступа. Точки досутпа - AP2100. Снифер запустить не могу - сеть не моя (клиента). При этом из PriLAN (192.168.1.0/24) я через шлюз спокойно подключаюсь к точке доступа (192.168.0.2). Так что не похоже, что дело в 2100, скорее, что-то в настройках шлюза.