1. Прочитал, что в 707P всего 8 правил для FW, из них можно изменять/создавать/удалять 5 правил (поправьте здесь, если ошибаюсь). 3, вроде как, прошиты и не могут быть изменены - опишите их, пожалуйста. Также, мог ли я их удалить, когда ковырялся с FireWall, или они забетонированны в 707P и невидимы в списке Firewall Rules List?

2. Как настроить Firewall так, чтобы 113 порт был в состоянии Stealth, а не Closed? www.grc.com (ShieldsUp!) определяет его состояние Closed, хотя другие служебные порты в Stealth.

3. Как закрыть Ping Reply? - Your system REPLIED to our Ping (ICMP Echo) reqeusts making it visible on the Internet.

Спасибо.

1. Удалить их нельзя (3 правила) и они видны в списке
2. На этом же сайте написано, почему так сделано с портом 113
3. на закладке "Misc" поставить галочку "Disable WAN ping"

[quote="Krutskikh Sergei
1. Удалить их нельзя (3 правила) и они видны в списке
2. На этом же сайте написано, почему так сделано с портом 113
3. на закладке "Misc" поставить галочку "Disable WAN ping"[/quote]

Спасибо, Сергей, но всё-таки хотелось бы знать, как настроен по умолчанию Firewall. Дело в том что:
1) 3 правила по умолчанию вообще не активны в списке
2) Эти 3 правила можно удалять, менять и вообще делать с ними, что захочешь
3) Однако, даже не активируя какие-либо правила в дефолтном списке, прошитый Firewall всё-таки продолжает прикрывать служебные порты в режиме Stealth, судя по проверке на ShieldsUp www.grc.com

Какие же именно правила зашиты в 707P? Вы знаете или догадываетесь? Те, что имеются по умолчанию в списке и не активированы (над ними, как я уже сказал, можно проводить любые испытания) не отражают того, что активно по умолчанию в V3.05. Это следующие правила:

Allow Allow to Ping WAN port WAN,* LAN,192.168.0.1 ICMP,8
Deny Default *,* LAN,* *,*
Allow Default LAN,* *,* *,*

Все они не активны.

Ещё вопрос: что это за правило указано в 1-ой строке? Пробовал включать - WAN продолжает пинговаться на grc.com
Как Вы правильно подсказали, реакцию на пинги надо отключать в MISC. Тогда зачем это здесь в списке правил, да ещё ICMP порт 8? Почему 8?

Всё вышеизложенное относится к DI707P. А также и к DI704P ver.3.04, т.к. внешне там такой же Firewall, не очень понятный невооружённым глазом. Вопрос остаётся -какие 3 правила работают по умолчанию?

Для начала обновите прошивку на v3.06b01
файл называется - 20040827_604_704P_707P_V306b01_eng.BIN(1014121017).bin
Так как все, что я писал , относится именно к этой прошивке.

Понял, спасибо.

Прошил, теперь всё выглядет гораздо логичнее и понятнее. Вопрос по 1-ому правилу в Firewall:
SOURCE DEST PROTOCOL
Allow Allow to Ping WAN port WAN,* WAN,* ICMP,*

Что это за правило из WAN в WAN и когда может быть применено?

Спасибо.

Это правило разрешает пинговать внешний интерфейс из инета

Внешний интерфейс - это то соединение, которое присваивает мне провайдер по установлению соединения? Например:
STATUS: Gateway 83.237.57.142 ?

Тогда какое функцианальное отличие этого правила, от того, что можно настроить в закладке TOOLS > MISC > Discard PING from WAN side ENABLED?

Большое спасибо за ваши ответы.

Да, это оно
Это правило разрешает пинг и оно не удаляется и не редактируется.
Для запрета пинга как раз служит эта закладка

Отлично, там же действительно в правиле ALLOW стоит, теперь с Firewall всё на месте.

Ещё вопрос: Чем конкретно отличается: HOME > WAN > CONNECT MODE SELECT: Manual от Connect-on-demand? Если можно, с примером.

Ещё вопрос по Firewall в последней прошивке:

ПОРТ 1720 (Service H.323) по умолчанию находится в состоянии OPEN? И это, не смотря на то, что одно из 3-х прошитых правил предусматривает:

Deny Default *,* LAN,* *,*

Прокомментируйте, пожалуйста. А также как закрыть и какие другие порты тогда могут быть открыты вопреки правилам Firewall?

manual - вручную нажимаете кнопочку Connect.
On demand - появляется пакет наружу, соединение устанавливается.
По умолчанию, даже если _все_ в firewall открыть, пакеты через NAT внутрь сети не проберутся. Дополнительно надо настраивать Virtual Servers

Так всё-таки, почему grc.com показывает все служебные порты моего внешнего интерфейса в состоянии STEALTH (кроме 113 в CLOSED, уже обсуждалось), а вот ПОРТ 1720 (Service H.323) в состоянии wide OPEN? Причина или логика есть какая? Или это просто особенность данной версии прошивки?

Спасибо.

Создал правило:

Deny PORT 1720 WAN,* *.* *.1720

Но grc.com показывает, что пакеты на 1720 всё равно идут (в отличие от других сервисных портов). Проблема версии прошивки?

Так сделано специально, для правильной работы (Service H.323) - того же НетМитинга.
И чему это мешает ? Вообще, смысл всех этих вопросов ?
У вас что-то не работает ?