Уважаемые господа из DLINK, и неменее уважаемые пользователи,

есть "маленький" проблем.
Хочу наружу не выпускать ни ICMP ни UDP (кроме 53го порта), всё остальное - должно ходить.
Для чего делаю в глобальных policy
Inbound - Disable all except policy rules
Outbound - Enable all except policy rules
И в policy rules добавляю
1) ICMP all Source Ip, all Ports, all Destination Ip, outbound
2) UDP all Source Ip, Ports 0-52, all Destination Ip, outbound
2) UDP all Source Ip, Ports 54-65535, all Destination Ip, outbound
сохраняю, перегружаю (на всякий случай) и...
нефига не работает. Как UDP ходил так и ходит наружу, и ICMP как пинги и tracert ходили так и ходютъ, хоть тресни...

В чём трабл?

забыл сказать - прошивка 3.29

Попробовал политику по-умолчанию Deny. Вроде заработало как надо. Наделал кучу правил, создал политику Permit, всё привязал и поехало. Т.е. firewall хоть в этом режиме подает признаки работы как надо. Разрешил почту, http, ssh и dns, проверил - работает. Проверил другие порты - не работает, ICMP так же без явного разрешения не работает. Ну просто счастье... казалось бы... Ха, щас... более детальное изучение логов показывает - не фига. Снова проблема. Смотрим NAT Info и видим что сие устройство DFL-600 зачем-то сконнектилось куда-то по UDP

XXX.XXX.XXX.XXX:6881 XXX.XXX.XXX.XXX:6881 83.228.34.34:22762 UDP

где XXX.XXX.XXX.XXX - это WAN адрес DFL-600...
Проверяем логи и видим что были раньше сессии по 6881 исходящие из одного из бойцов в моей сетки.. BitTorent ему хотелось... Уразали правилами. Сесии на его IPшник все отпали. Всё как должно быть. Но теперь со всего мира идут сюда на WAN адрес и DFL-600 спокойненько с ними коннектится. Чищу сессии NAT, через секунды появляются новые. НА КОЙ?

Меня по-прежнему беспокоят записи в NAT sessions типа такой:


где XXX.XXX.XXX.XXX - это WAN адрес моего DFL-600

Что это означает? Почему какие-то хосты могут устанавливать сессии UDP с моим роутером, если у меня все фильтры отключают трафик по всем портам UDP кроме DNS?

А вот и TCP сессии:

XXX.XXX.XXX.XXX:445 XXX.XXX.XXX.XXX:445 213.238.122.80:4997 TCP

Поддержка? Ау!

needless to say 445 and 4997 should be filtered off by the rules and policy.

А вот и еще один прикол

Открываем Session Log и



XXX.XXX.XXX.XXX - это WAN адрес роутера DFL600

Внимание вопрос - чё й то ему вдруг вздумалось туда ходить?! Кто его просил?!
Я понимаю ICMP сессии когда я просто пингую хост. Но всегда вижу в
Source - свой IPшник из локалки. Здесь же сам роутер пошел куда-то. И не единичный случай. Вот еще один



Поддержка. Нужна помощь.

Support, ау!
НУЖНА ПОМОЩЬ

Спасибо! Будем разбираться.

Это не дыра, Вы правила создали, но не включили их.

_________________
С уважением,
Бигаров Руслан.

А что конкретно включать?
Реально правил на входящие (inbound) - нет.
По дефолту - все входящие должны блокироваться.

Т.е. смотрим Advanced -> Policy -> Global Policy Status:

Inbound Port Filter:
[v] Enabled
[v] Deny all except policy settings

Что-нибудь еще нужно для входящих?

Для исходящих - да, ICMP разрешен, но насколько я понимаю, это подразумевается для LAN to WAN соединений. В моем же случае это не так - соединялся сам router по своему WAN ip к удалённому WAN хосту.
Даже допустим - фиг с ним ICMP, хотя предельно неприятно видеть такие вещи, что насчёт UDP и TCP?
Я так же вижу NAT Sessions и в Session Log, а соответствующие порты явно запрещены и правила, как вы понимаете включены. Для проверки - я изнутри телнетом попробовал - всё блокируется. Не блокируется только сам роутер который по одной ему известной причине соединяется куда хочет (точнее куда его кто-то просит).


Вот например

Status -> Session Log



где XXX.XXX.XXX.XXX - WAN IP роутера.
Собственно вопрос почему NORMAL ? Почему не timeout?

И в NAT Info - я так же приводил строки. Например, я сам воспроизвести это не могу. Беру telnet коннекчусь к роутеру снаружи по тем же портам, всё отваливается по timeout и никаких NAT сессий. А эти китайские други спокойно их устанавливают. Что за ерунда?

Advanced -> Policy -> Policies создайте правило, потом в нём зайдите в "Edit" и там включите Rule Filter и "Inbound Firewall Rule" и "Outbound Firewall Rule" укажите какие правила вступят в силу.

_________________
С уважением,
Бигаров Руслан.

Это всё сделано с самого начала.
Могу прислать скриншоты.

У меня всё работает. Пришлите: rbigarov@dlink.ru

_________________
С уважением,
Бигаров Руслан.

Спасибо.

Только что поставил 3.35ю прошивку. Пока всё чисто
Пока все поползновения коннектов отражает, а их не мало наползло за 5 минут. Жаль время не пишет в логах. Трудно ориентироваться.
Как только что-то подозрительное будет - отпишусь сразу по мылу.

С Уважением,
Дмитрий.