Как эффективно заблокировать входящий ip, не пользуясь дропом, а если пользуясь дропом, то как вести пул адресов не делая жуткие манипуляции по прописыванию адресов?
Кто-нибудь уже сталкивался?

_________________
Dlink DFL-860E, Qnap TS-459U-SP

Создаете группу ее дропаеие . А в группу добавляеие ип адреса . Все

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо конечно, этот способ использовал первым относительно логики DFL, разве нет другого способа, а то ведь скоро адресная книга будет вся в этих адресах, там же есть ограничения и синтаксис записи ip адреса...

_________________
Dlink DFL-860E, Qnap TS-459U-SP

я больше не знаю .

а вы разрешайте , что надо а не блокируйте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Хм Этот принцип хорошо работает из NAT, но с наружными ip не все так просто, я собственный iPad не смогу подключить к своему серверу.
Остаётся разобраться как работает ZoneDefense, в нем можно создавать вручную blacklist, но похоже логика алгоритма такова, что непозволяет блокировать ip из списка на wan стороне, только между switch и dfl в lan зоне...

_________________
Dlink DFL-860E, Qnap TS-459U-SP

ZoneDefense - технология взаимодействия DFL с коммутаторами внутри сети, позволяющая выявить вредоносную активность какого-то хоста внутри lan и заблокировать его. Никак вам не подходит.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Топикстартер, вы объясните внятно проблему, раз вам религия не позволяет дропить группами хосты и подсети из адресной книги.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Логика не позволяет, а не религия, столько всего встроено в DFL, а такой пустяк как запрет доступа по ip сделан ужасно не удобно, кстати, видимо сам механизм изначально замыслили для запрета портов в первую очередь, иначе не объяснить синтаксис записи ip адреса...
Для вас достаточно внятно и понятно, а то вы тут единственный кто сразу не понял о чем речь...

_________________
Dlink DFL-860E, Qnap TS-459U-SP

Спасибо, да я уже разобрался, действительно не подходит...

_________________
Dlink DFL-860E, Qnap TS-459U-SP

Я прекрасно понял о чем речь, но что в первом сообщении, что в последующих Вы говорите о неудобных с Вашей точки зрения способах решения. А о том, о чем я спрашивал - Вы так и не говорите.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да все просто, у меня обычный маленький сервер qnap, естественно, из сети, на него постоянно хотят пробраться разные люди по протоколам ssh и ftp, отнимая у него и без того маленькие ресурсы, а пул адресов такой разный, что приходится по пять минут жизни тратить, что бы вписать все это в адресную книгу, конечно некоторые английски, вьетнамские и т.д. адреса я вношу подсетью целиком, как бы не внести что-нибудь важное...

_________________
Dlink DFL-860E, Qnap TS-459U-SP

Vpn вам в помощь .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вместо all-nets cделайте разрешение на доступ к нему только из группы определённых адресов. Все остальные запросы будут дропиться правилом по умолчанию.
Ну, или настройте VPN-сервер на DFL-ке, как писал Владимир. Это решение намного гибче и изящнее.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

два варианта вам уже предложили.

Есть еще такой: на основе программных или аппаратных решений считать кол-во обращений с определенных IP адресов к вашему серверу и блокировать автоматически тех, кто превышает установленную вами частоту обращений. Средствами DFL это не сделать, либо это будет чересчур сложно.

Но, мне кажется, два ранее предложенных варианта несколько лучше. Особенно VPN. Т.к. выставлять наружу для всех прямой доступ к серверу, имхо, как минимум, некрасиво.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Гм.. а как же ftp.dlink.ru ? -))

Впрочем все зависит от того что требуется:
- для себя из любой точки - vpn будет неплохо
- для некоего конкретного круга людей - уже не очень
- для абстрактного списка - не катит

Что можно предложить как варианты:
1. нечто типа fail2ban - т.е. добавлять всех некорректных скриптом на qnap'е
2. не помню научного названия, но выглядит так:
редиректим какой-нить http порт на qnap
на нем скрипт, который обрабатывает нечто капчеподобное и по успеху прохождения - добавляет ip прошедшего в белый список для доступа по ftp и ssh
по крону список очищается по времени - т.е. например через час после последней активности - белый список пуст.