Друзья, самый главный вопрос - ОНО работает как надо или нет? И если да, то - объясните пожалуйста как оно работает на примере? Примера в руководстве пользователя нет, а пояснения к пунктам настройки - не нужны в том виде в каком они есть, они НИЧЕГО не объясняют!
Конкретно проблема такая: нужно защитить виртуальный сервер от доступа со всех IP интернета кроме нескольких выделенных.

Добавляю их в фильтры с accept,

добавляю accept для всех адресов lan

и в конце пишу drop tcp/udp для всех компьютеров вообще.

При этом роутер перестаёт отвечать на запросы по web-админке, ping есть. Вопрос - как, в какой последовательности обрабатываются правила?
Вижу что было 3 таких темы, и ни на одну не было никакого ответа за несколько лет.
Ответтье пожалуйста, и если можно с примерами.
H/W версия B. прошивка 1,2,94

Скриншоты настроек не помешали бы. И прошивку обновить можно.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Предполагаю, что вторым правилом вы закрыли все порты и адреса локальной сети. В таком случае вполне естественно, что интерфейс не будет доступен. Согласен с Сергеем, нужны скриншоты.

_________________
Полезные настройки

Ну тогда бы я не написал что третьим я закрыл всё. А именно после попытки ввода третьего правила в браузере сессия повисла и роутер перестал отвечать на попытки войти в него.
Второе правило - я предполагаю, вы думаете я ошибся в настройке и вместо accept выбрал drop? Нет, второе прошло нормально после нажатия кнопки "изменить". А вот вводя третье и нажимая "изменить" нажать "сохранить" я уже не смог, т.к. роутер стал недоступен. Пинг же при этом был, что вроде бы естественно т.к. закрывал tcp\udp.

Скриншоты будут, но конкретно что вам нужно?

Ответтье пожалуста. Сроки поджимают! Какие конкретно скриншоты нужны?

Скриншот страницы фильтров и сетевой статистики.

_________________
Полезные настройки

Прилагаю

Добавьте разрешающее правило из локальной сети на 192.168.0.1 Затем запрещающее для всего.

_________________
Полезные настройки

После этого он будет работать как свитч для lan, сеть windows будет видна? Если мне нужно администрировать из интернета и я добавил правило ниже на картинке:
Вопрос - нужно ли добавить в фильтр разрешающее правило для этого порта и адреса?

Очень странная маска 255.255.252.255
Вы считаете это нормально?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ну да, один адрес.
ЗЫ А да, действительно.... Видимо пул какой то был, я и не заметил что там 252, сейчас поправлю, спасибо

В продолжение темы. Вот такая строка запрещает пинг как со стороны 192.168.0.2 так и со стороны интернета на него. Это нормально?

Эта строка запрещает пинг со всех узлов на узел с адресом 192.168.0.2. Т.е. когда Вы посылаете пакет на 192.168.0.1, в ответ приходит пакет на 192.168.0.2, и ответный пакет и не проходит, роутер его отбрасывает, судя по Вашему правилу. А для того чтобы был доступен пинг со стороны интернета на него необходимо поставить галочку напротив Ping в созданном соединение в настройках Wan, раздел разное, и иметь "белый ip".

Допустим. А если вместо ICMP поставить TCP - то можно ли будет по вашему соединяться с интернетом с адреса 192.168.0.2, ну то есть будут ли исходящие?

Исходящие пинги или что?Для соединения с интернетом необходимо как раз соединение по протоколу TCP, а правилами Вы блокируете ответные пакеты по этому протоколу, т.е. соединения не будет поднято и доступа не будет в интернет. На этом устройстве функция IP-фильтра работает верно. Чтобы эксперементировать сначало тогда прочитайте и разберитесь как что работает.