Добрый день.

Подскажите пожалуйста возможно ли использование DFL-600 для следующих задач или необходимо что-то иное ?

a) Firewall для подключения офиса к Internet. NAT.
b) Ограничения доступа в интернет из внутренней сети по IP,MAC,пользователям.
в) Ограничение доступа отдельных пользователей списком разрешенных хостов.
Например одновременно нужно:

Юзеру "Иванов" запрещенно всё кроме www.1c.ru и разрешен доступ на почтовй сервер mymail.ru по 2м портам)

Юзеру "Петя" разрешено всё кроме сайтов с mp3, xxx и т.д. но только во время обеда. Почта на mymail.ru разрешена всегда.

Машине с MAC: xx.xx.xx.xx.xx
Разрешен полный доступ.

г) Статисика по траффику по MAC/IP/Юзерам. Можно накопительно, без деталей хотябы по пользователям.

Проще сказать, что он может:
1. Запретить ВСЕМ все, кроме www.1c.ru
2. ИЛИ разрешить всем все, кроме mp3, xxx и т.д.
причем пункты 1 и 2 взаимоисключающие.
Но запуск какой-либо политики по времени возможен (правда, сам не пробовал)
3. Машине с конкретным MAC можно ТОЛЬКО запретить, причем ВООБЩЕ ВСЕ ((
4. Машине с конкретным IP можно запретить (или разрешить, что МНОГО сложнее) какие-либо сервисы http, smtp и т.д.
5. Ни о какой статистике речи не идет. Может лишь показывать суммарные входящий/исходящий трафик по WAN с моента включения.
Боюсь, что это все (

Из описания новой версии софта (особо обратите внимание на раздел II):

DFL-600 firmware(2.11) Release Note

I.New Features :

1.VPN Security
(1)Dynamic VPN
(2)Transport Mode
(3)AES/AES 128
(4)Manual Key
2.Transparent Mode
3.MAC With IP Address binding
4.DDNS For IPSec Entry
5.Single Public IP(S/W DMZ)
6.PPPoE Passthrough

II.Modify Features :

1.Firewall/Policy
(1)Web UI--> More friendly

III.Bugs fixed :
1.TCP session can not time out

Please note:

1. Please must upgrade firmware from 1.05.b091 to 2.11. If the firmware of your DFL-600 isn't 1.05.b091, please upgrade to 1.05.b091 first.
2. All configurations will be reserved except schedule after upgrading firmware to 2.11.

При положительном результате тестирования появится на ftp.dlink.ru

to Козик Павел
А где можно прочитать полное описание новой прошивки? В частности, будет ли там интеграция с AD?

Все что указано в ридми я привел.

"одобрения" пока не пробовать?

Думаю, что хуже, чем сейчас врядли будет

Я бы обратил внимание на
III.Bugs fixed :
1.TCP session can not time out

Господа, что делать с DFL-600, который находится далеко? Они сбрасывают tcp-сессии кажлый час работы. Деятельность филиала парализована, все ходят очень злые.

Можно ли туда влить старую прошивку без потерь настроек?
Или дождаться новой?

Если очень-очень хочется, можете взять последнюю прошивку на tsd.dlink.com.tw.

Заливать старые прошивки я бы не рекомендовал, там изменений очень много, и наверняка портебуется переконфигурация у-ва.

Залил новую пршивку 2.11. Сразу же вылез такой глюк- у DFl-600 по умолчанию DMZ-порт имеет адрес 192.168.1.1/24, что совпадает с адресацией моей внутренней сети, меняю DMZ на 192.168.10.1-Apply-Disable-Apply-сохраняю настройки-возвращаюсь на страницу DMZ- ENABLE!!!!! А при перезагрузке DMZ опять возвращается в 192.168.1.1. Соответсвенно, когда я назначаю LAN адрес из своей сети он конфликтует с адресом ДМЗ и устройство просто не загружается, помогает только Reset. Неужели к такой замечальной штучке не могут сделать нормальную Firmware, а?

Проблема действительно существует. Разработчикам оптравлен отчет, как только выйдет ПО, устраняющее эту проблему - я сообще здесь.

_________________
С уважением, Карагезов Владислав

И вообще, хотелось бы иметь нормальную документацию по устройству- что, зачем, как работает, что означают записи в логах и т.д. У меня например, никак не выходит настроить аутентификацию через RADIUS, а что делаю не так- не понятно

давайте для этого откроем новую тему - чтобы все не валить в одну кучу? так будет и Вам, и нам удобнее. Или пришлите подробное описание проблемы по почте.

_________________
С уважением, Карагезов Владислав

Трабла следующего плана - с ftp убрали дефолтовую прошивку dfl600run.134, как оказалось, она была наиболее стабильной, хотя и не полностью реализовывала все возможности, но реально стабильнее...
Теперь хотел переползти на новую прошивку, однако не могу этого сделать без возможности отката обратно в случае необходимости. Перепрошиваться нужно по той причине, что из ДМЗ не хожу в лан, где находится почтовик, а это нужно...!!! но терять стабильность не хочеться, плюс предыдущие обновления прошивок не защищали от атак по 1080 и 5999 портам (socks 5 & ISQ соответственно) эти атаки отражились файрволом (да я пароноик:-) ) самого хоста, а это, извините за грубость, кривота...

так суть то вопроса в чем ?