D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DIR-320 и tracert

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

ld_mp

Заголовок сообщения: DIR-320 и tracert

Добавлено: Пн авг 23, 2010 11:41

Зарегистрирован: Пн авг 23, 2010 10:59
Сообщений: 3

День добрый!
Заметил на свежекупленном сабже такую проблему: при включении опции встроенного фаервола "Enable SPI" перестают приходить ответы на tracert. Пинги проходят нормально. В общем, ситуация аналогична этой.
Трасерт с выключенным SPI:

Код:

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2    13 ms    12 ms    12 ms  213.228.119.213 
  3    11 ms    12 ms    12 ms  pokryshkin-vlan801.yandex.net [193.232.87.42] 
  4    79 ms    79 ms    78 ms  gagarin-vlan3054.yandex.net [213.180.208.30] 
  5    87 ms    83 ms    81 ms  grechko-vlan120.yandex.net [87.250.233.125] 
  6    82 ms    79 ms    84 ms  alferov-vlan4.yandex.net [213.180.210.186] 
  7    67 ms    71 ms    71 ms  l3-s3000-s550.yandex.net [213.180.213.17] 
  8    82 ms    79 ms    79 ms  www.yandex.ru [213.180.204.3] 

Трассировка завершена.

Трасерт с включенным SPI:

Код:

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8    79 ms    79 ms    81 ms  www.yandex.ru [213.180.204.3] 

Трассировка завершена.

При этом в логе роутера появляются строчки:

Aug 23 15:29:50 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:121.231.206.36) detected. Packet dropped.
Aug 23 15:29:43 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:213.180.210.181) detected. Packet dropped.
Aug 23 15:29:31 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:87.250.233.125) detected. Packet dropped.
Aug 23 15:29:27 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:175.114.86.20) detected. Packet dropped.
Aug 23 15:29:19 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:213.180.208.30) detected. Packet dropped.
Aug 23 15:29:15 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:193.232.87.42) detected. Packet dropped.
Aug 23 15:29:11 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:193.232.87.42) detected. Packet dropped.
Aug 23 15:29:11 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:90.57.94.36) detected. Packet dropped.
Aug 23 15:29:10 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:109.174.54.24) detected. Packet dropped.
Aug 23 15:29:07 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:193.232.87.42) detected. Packet dropped.
Aug 23 15:29:03 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:213.228.118.53) detected. Packet dropped.
Aug 23 15:28:59 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:213.228.118.53) detected. Packet dropped.
Aug 23 15:28:55 ATTACK Detected: 002[PING-FLOODING] attack from WAN (ip:213.228.118.53) detected. Packet dropped.

То есть фаервол блочит ответы.

Прошивка: dir320_v1.21_a3ia.bin, опция "Enable WAN Ping Respose" включена.
Читал, что можно побаловатсья со значением ttl, но в дир-320 такой опции, кажется, нет.

Вернуться наверх

Vitaliy Korkunov

Заголовок сообщения:

Добавлено: Вт авг 24, 2010 09:50

Сотрудник D-LINK

Зарегистрирован: Пн авг 17, 2009 17:18
Сообщений: 7330

Значение TTL на данном устройстве изменить нельзя, SPI блокирует пакеты, данную опцию желательно отключать.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Вернуться наверх

ld_mp

Заголовок сообщения:

Добавлено: Вт авг 24, 2010 11:36

Зарегистрирован: Пн авг 23, 2010 10:59
Сообщений: 3

Спасибо за ответ. Странный он, если честно.
- У меня вот это работает не так как надо.
- А вы это не трогайте.
Немного некомфортно голым задом смотреть в интернет.
А будут ли какие-то подвижки в этой части, например, фикс в будущих прошивках? Или это by design и исправлять не планируется?

Вернуться наверх

Vitaliy Korkunov

Заголовок сообщения:

Добавлено: Вт авг 24, 2010 11:41

Сотрудник D-LINK

Зарегистрирован: Пн авг 17, 2009 17:18
Сообщений: 7330

По данному вопросу уточним у разработчика.
Прежде всего ваша защита - это NAT, также не забывайте использовать программные средства обнаружения атак и заражений.

Вернуться наверх

Vadim_Sh

Заголовок сообщения:

Добавлено: Вт авг 24, 2010 11:48

Зарегистрирован: Пн авг 10, 2009 08:51
Сообщений: 2505

Какой голый зад? NAT уже обеспечивает необходимую защиту.

_________________
Ваш IP:

Вернуться наверх

ld_mp

Заголовок сообщения:

Добавлено: Вт авг 24, 2010 12:32

Зарегистрирован: Пн авг 23, 2010 10:59
Сообщений: 3

Цитата:

По данному вопросу уточним у разработчика.

Спасибо большое.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 272

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения