1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 17:33

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 8
  [ Сообщений: 112 ]  На страницу 1, 2, 3, 4, 5 ... 8  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Viton-Zizu
 Заголовок сообщения: Трудности настройки D-link DFL-860 firewall
СообщениеДобавлено: Чт окт 25, 2012 08:13 
Не в сети

Зарегистрирован: Чт окт 25, 2012 07:48
Сообщений: 33
Ребят, впервые настраиваю аппаратный фаер, поэтому появилось множество вопросов!)
Есть Lan порты, есть порт DMZ, я так понимаю в dmz подрубаются почтовый сервер, веб сервер и прочее к чему нужен доступ из инета, в lan соответственно вся моя сеть. На lan прописываю 192.168.0.50, а на dmz можно указывать ту же подсеть? т.е. 192.168.0.0 или вся суть dmz потеряется и нужно указывать другую 172.17.100.0 например? подскажите как Правильно настроить) хочется допустим с lan заходить в dmz по радмину или такое нельзя реализовать?) ставлю сначала фаервол этот, затем буду сразу настраивать почтовый сервер, поэтому и интересуюсь правильным обращением с DMZ)
Надеюсь смог нормально объяснить) Помогите пжлста))
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 08:24 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Выставлять сервер в DMZ весьма опасная затея. Сервер Вы можете поставить и в лане настроив соответственно правила прохода из инета к серверу.
Вот пример проброса портов на сервер http://www.dlink.ru/ru/faq/85/480.html
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Чт окт 25, 2012 08:31 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
логика проста
это устройство с 4 мя независимыми интерфейсами а на одном еще и коммутатор :-)
правилами можно рулить как угодня . поэтому не вижу ни чего зазарного убрать рабочие сервера на порт DMZ и потом правмлами разрешать кто из LAN \WAN может и имеет права ходить и по каким портам .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 08:43 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Vladimir22
Только если есть необходимость изолировать сервер от локалки (на случай взлома сервера), в противном случае я не вижу смысла, если юзера будут ходить в инет не через прокси на DMZ
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Чт окт 25, 2012 09:18 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
ну мы же не знаем топологию сети и что там за сервера
а так почтовка и веб сервер - я бы туда убрал в отдельный порт .... и потом правилами рулил .
темболее если понадобится пул белых то меньше танцев с бубнами будет если сервера будут в DMZ , чем в локалке .

а так все зависит от безовасности которую вкладываютв в буквы DMZ. :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 09:26 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
"а так все зависит от безовасности которую вкладываютв в буквы DMZ"

Это ключевое :) в мыльницах DMZ подразумевает проброс ВСЕХ портов на сервер
Но судя по вопросу топикстартер не совсем понимает сути DMZ, я бы посоветовал для начала тщательно изучить этот вопрос, а уже потом строить топологию сети.

PS. я у себя не заморачивался, все в одной сети, но у меня и не военный объект :)
Вернуться наверх
 Профиль  
 
Viton-Zizu
СообщениеДобавлено: Чт окт 25, 2012 09:39 
Не в сети

Зарегистрирован: Чт окт 25, 2012 07:48
Сообщений: 33
Спасибо большое за ответы, как раз почтовый сервер и хочу подрубить к DMZ) Подскажите немного по настройке!
Я делаю так:
192.168.0.1 - интерфейс лан
192.168.0.2 - интерфейс dmz
192.168.0.3 - почтовый сервер который воткнут в dmz
И допустим я хочу радмином подключится к почтовому серверу, т.е. c лан в dmz. Тогда пишу правило - Allow, Сервиc Radmin(4899), Источник (lan), Назначение(dmz). Правильно?) просто у меня не работает такая конфигурация)
з.ы. суть дмз понимаю)) т.е. все порты буду проброшены из инета, но для почтового сервера мне это и нужно впринципе) просто поставлю туда програмный фаервол и будет гуд думаю)
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 09:55 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Настройки DMZ зоны могут быть разными
вот тут есть описание как настраивать
download/file.php?id=517
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Чт окт 25, 2012 09:57 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Viton-Zizu писал(а):
Я делаю так:
192.168.0.1 - интерфейс лан
192.168.0.2 - интерфейс dmz
192.168.0.3 - почтовый сервер который воткнут в dmz
Неправильно! интерфейс лан и интерфейс dmz не могут быть в одной подсети!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 10:00 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
MTRX
Насколько я понял, могут если включен прозрачный режим

Код:
Сценарий 2
В данном сценарии межсетевой экран NetDefend в прозрачном режиме отделяет сервера от
остальных узлов для внутренней сети, за счет их подключения к разным интерфейсам.
Все хосты, подключенные к LAN и DMZ (lan-интерфейс и dmz-интерфейс) получают адреса из
адресного пространства 10.1.0.0/16. Поскольку в данном случае используется прозрачный режим, то
для серверов может использоваться любой IP-адрес и при этом не нужно уведомлять хосты о том, к
какому интерфейсу подключен требуемый ресурс. Хосты внутренней сети могут связываться с
HTTP-сервером на DMZ-интерфейсе, который, в свою очередь, доступен из Интернет. Обмен
данными через межсетевой экран NetDefend между DMZ и LAN прозрачен, но трафик
контролируется набором IP-правил.
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Чт окт 25, 2012 10:07 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Но только не в его случае, имхо.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Чт окт 25, 2012 10:16 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Я бы почтовик выставил в dmz
между lan и dmz организовал "доверительные отношения"
между wan и dmz - проброс портов до почтовика

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 10:17 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Поэтому я и отправил в мануал, имхо, настройка DMZ зоны без хорошего понимания конфигурации DFL опасная затея
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Чт окт 25, 2012 10:19 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
Если по HTTP будут ходить из lan в wan а не через DMZ смысла заморачиватся на этом я не вижу, только лишние правила
Вернуться наверх
 Профиль  
 
Viton-Zizu
СообщениеДобавлено: Пт окт 26, 2012 03:47 
Не в сети

Зарегистрирован: Чт окт 25, 2012 07:48
Сообщений: 33
Спасибо ещё рас за ответы)
Мануал уже был, немного пробежался по нему, хочется спросить больше советов у вас)
Суть такая) я плавно ввожу фаервол в уже рабочую сеть, что есть:
Вложение:
1.png
1.png [ 11.9 KiB | Просмотров: 5779 ]

Ту часть где прокси пока в расчет вообще не берем, за неё я возмусь потом, сейчас меня интересует та часть где фаервол и почтовый сервер)
почему нельзя в одну подсеть лан и дмз? как все таки лучше сделать? что подразумевается под "доверительными отношениями"?) как тогда можно с лана, попасть в дмз? допустим мне надо по радмину туда на почтовик подрубаться.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 8
  [ Сообщений: 112 ]  На страницу 1, 2, 3, 4, 5 ... 8  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 255

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB