Помогите пожалуйста разобраться.

WAN подключен к провайдеру по PPTP.

1. В Firewall активировано одно дефолтное правило Deny Default ( Deny Source: *,* Destination LAN, 192.168,0.1-, *,*). Что значат в логе сообщения вида "... unrecognized acess ..." это блокированные попытки войти на мой домашний комп извне?

2. Если я создаю свое правило на основне базового отличающее только тем, что в target вместо LAN 192.168.0.1- стоит LAN *-, отключаю дефолтное и включаю свое, то рутер после перезагрузки никак не желает устанавливать соединение с провайдером. В чем тут принципиальное отличие? Разве не все равно обозвать мою домашнюю сетку LAN 192.168.0.1- или LAN *- Если выключаю это правило, то после перезагрузки нормально коннектится.

1. Сообщения означают блокировку попыток доступа извне.
2. прописанные по умолчанию правила позволяют нормально работать и подключаться к провайдеру. Изменение их в более позних прошивках заблокировано именно по причине лавины подобных вопросов в службу техподдержки

_________________
С уважением -- Александр Шебаронин.

Вот это правило, Deny Default, как я понимаю, запрещает устанавливать соединения с 192.168.0.1 (те с самим шлюзом) c любых IP любого интерфейса (WAN,LAN). Домашний компьютер вроде находится за NAT'ом шлюза, и доступ к нему со стороны WAN получается невозможен, если я только сам не сделаю портфорвардинг через триггер или виртуальный сервер. Или для надежности стоит прописать правило запрещающее доступ со стороны WAN на IP моего домашнего компа? Типа Deny Wan,* 192.168.0.x *,*

А если при этом я еще сделал портфорвад для этого компа? Получается какое-то противоречие: c одной стороны задано правило запрещающее доступ на любые порты моего компа извне, и одновременно задан virtual server дающий доступ к порту. Что в этом случае будет иметь приоритет?

PS. Да еще забыл упомянуть что WAN у меня в режиме соединения с провом по PPTP

Тут еще столкнулся с одной проблемой. Дело в том что в мануале к DI-704UP совершенно не сказано как задавать собственные правила для фаерволла. Этот раздел вообще отсутсвует . Особенно непонятно как следует задавать диапазоны адресов. Поэтому вопрос, имхо, совершенно обоснованный.


Почитал мануал на 804, там все подробненько расписано. Если один адрес, то указать его в поле "IP Start", а поле "IP End" оставить пустым. Если нужно указать любой адрес, то оба поля оставить пустыми. И нигде не упоминается что в поле IP может быть *.

Похоже что для 704UP это не так, потому что в дефолтном правиле "Default Deny" для задания диапазона адресов источника в "IP Start" стоит * , а поле "IP End" оставлено пустым. Так как следует задавать одиночный адрес, диапазон, или "любой" в правилах для фаерволла 704UP?

P.S. А на ftp dlink.ru вообще мануал отсутсвует.

Ну объясните пожалуйста как понимать у данного девайса правило фаерволла "Deny Default" ?

Source:
Interface *
IP Start * IP End 'пусто'

Destionation:
Inteface LAN
IP Start 192.168.0.1 IP End 'пусто'
Protocol *
Port Range *-'пусто'

Я это расшифровать иначе как: "Ни откуда, ни по каким протоколам, ни к каким портам устройства видимого в LAN по адресу 192.168.0.1 соединияться нельзя" Но этот адрес это дефолтный гейт, те сам 704UP. Смысл правила понять не могу.

расшифровать это правило нужно так: никакие пакеты, приходящие в сторону интерфейса LAN, не пропускать. Не пропускать пакеты из лана в лан же устройство не может -- там простой коммутатор, поэтому разницы между этим правилом и правилом с указанием в качестве инетрфейса-источника WAN нет никакой.

_________________
С уважением -- Александр Шебаронин.

Спасибо за пояснение.

Остается непонятным взаимодействие портфорвардинга с фаерволом. Или они вообще не связаны один с другим? Если активировать правило Deny Default и настроить virtuаl server, то подключиться к порту все равно будет невозможно? А если добавить правило разрещаюшее прохождение пакетов на порт для которго делали форвард? В какой последовательности применяются активные правила из списка? Сверху вниз или снизу вверх ? Вообщем вопросы вызваны большей частью отсутствием подробного мануала, не то что на руском, но даже и на аглицком.

Пров клянется, что выдал мне честный айпи адрес за своим NAT, а я не могу никак открыть порт на доступ извне. Хотя и портфорвард сделал, те virtual server настроил в терминах DLink. Эту часть я точно сделал правильно, тут запутаться тяжело. Остается предположить, что доступ блокируется фаерволом, а вот его описания как раз нет.

Вот в FAQ из доки на 804HV (нету родной вот приходится читать что есть) возникло впечатление что открыть порт можно разными способами: через виртуал сервер, или создать правило фаервола. Есть между этими способами какая-либо разница кроме юзер интерфейса?

Через правила файрволла открыть порт вовнутрь снаружи не получится, только виртуальный сервер.

_________________
С уважением -- Александр Шебаронин.

Хм. Там в FAQ говортися как настроить DI804HV под "ослика" (страница 132). Сказано: "Необходимо открыть порты на маршрутизаторе, чтобы разрешить входящий траффик при использовании EDonkey" Далее, по шагам, описывается как создать нужное правило. Никаких виртуальных серверов создавать не требуется.

Совсем я запутался в этих вещах. Будьте добры объясните на пальцах что мне нужно сделать чтобы к торрент клиенту настроенному на фиксированный порт могли из интернета коннектится другие пиры? Создать виртуальный сервер? Прописать правило для фаервола разрешающее траффик к нему? То и другое? Или создать туннель для специального приложения?

Конечная цель такая: когда приложение биндит порт, необходимо чтобы к этому порту можно было коннектится из интернета. А вот когда приложение не запущено, желательно чтобы порт был закрыт. (примечание: у меня активировано правило Deny Default).

Virtual server - это статическая NAT-запись, она назначает "порт маппинг". Это первое необходимое условие.

Прохождение пакета через фаервол - ВТОРОЕ необходимое условие...

Мало того, в моём DI-624+ при задании Virtual Server АВТОМАТИЧЕСКИ создаётся соответствующая разрешающая запись фаервола

Как оказалось, действительно, достаточно только настроить виртуальный сервер. Необходимости создавать соответсвующее правило для фаервола нет. Судя по тому, что у меня активировано Default Deny, но коннектится ко мне можно, правило создалось автоматически. Но я ожидал увидеть его в списке, а там толко Default Deny, в соответсвии с которым никто извне ко мне достучаться не должен. Это несоответсвие меня и путало

Человек у которого 624 говорил мне, что правила фаерволла в списке можно двигать стрелочками для задания нужного порядка применения, но я у себя что-то не наблюдаю такой возможности. Или это только собственные правила можно двигать, а дефолтные всегда на своем месте?

Ну 90% чего мне надо было я сделал. Порт виден снаружи и к нему можно коннектится. Теперь только придумать как бы его автоматически закрывать одновременно с приложением. А то открытый порт за NAT который не забинден на нужное приложение как дырка в заборе

ЗЫ. Вот могу сказать, что мой экземпляр пока ни разу не перегружался (самовольно) и не зависал. Вообщем как шлюз в инет вроде работает.

ЗЫ. Вообщем спасибо всем затратившим усилия на объяснения, кое-как разобрался. Сэнкс

Да, дефолтные правила внизу и без стрелок.

Стрелки появились 1-2 версии назад.

Правила обрабатываются по порядку, то есть, если условия правила N выполнены, то оно исполняется и дальнейшая обработка правил заканчивается. Поэтому Deny Default и стоит последним - оно блокирует ВСЁ, что не разрешено правилами до этого.

У меня все не так. Собственные правила добавляются ниже дефолтных, те всегда наверху, и стрелок нет. Это, видимо, следствие того, что для 704UP прошивка не обновлялась уже больше года. Видимо у меня правила чекаются снизу вверх по списку. Я бы вот это хотел точно уяснить. Или мои снизу вверх, но дефолтные всегда последними. Хрен разберешь. Вообще большое желание поменять 704UP на 704P, к тому хоть прошивки свежие есть. Сейчас спрошу в топике про прошивки почему такая ситуация.

Точно не помню, но вроде у 804 (они мне раньше остальных в руки попали) несколько версий назад точно так же было