D-Link • Просмотр темы - DFL-1600. Проблемы с настройкой ICMP.

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL-1600. Проблемы с настройкой ICMP.

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

dreem2001

Заголовок сообщения: DFL-1600. Проблемы с настройкой ICMP.

Добавлено: Пн окт 20, 2008 15:03

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57

Добрый день.
Имеем DFL-1600.
Настроены следующие правила для обработки ICMP:
# Name Action Src If Src Net Dest If Dest Net Service
5 Allow_ping_wan1 Allow wan1 all-nets core wan1_ip all_icmp
6 Allow_ping_wan2 Allow wan2 all-nets core wan2_ip all_icmp
7 ping_fw Allow lan1 lan1net core lan1_ip all_icmp

При этом все пинги ходят прекрасно, а вот traceroot показывает звездочки, ответ показывается только от последнего узла.
tracert -d mail.ru

Tracing route to mail.ru [194.67.57.126]
over a maximum of 30 hops:

1 * * * Request timed out.
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 12 ms 14 ms 9 ms 194.67.57.126

Trace complete.
В чем может быть проблема?

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн окт 20, 2008 15:26

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

для начала разрешить сервис ping-outbound в нужном направлении.

потом, возможно, сделать MinTTL=1 (вместо 3)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вернуться наверх

dreem2001

Заголовок сообщения:

Добавлено: Пн окт 20, 2008 15:59

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57

Спасибо за ответ.
Однако, если посмотретьна правила там открыт весь ICMP.
Да и в логах не пишут ворнинги на отлуп пакетов.
Или я что то упустил?

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн окт 20, 2008 17:22

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

http://forum.dlink.ru/viewtopic.php?t=47542&start=6

Если прочитать весь пост, там ответы почти на все вопросы.

Вернуться наверх

dreem2001

Заголовок сообщения:

Добавлено: Пн окт 20, 2008 20:32

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57

Спасибо за ответ.
Я действительно не учел тот факт, что core не будет перекладывать пакетики без NAT.
Вот так вполне себе работает:
ping_fw NAT lan1 lan1net any all-nets ping-outbound
А у Вас как то через чур мудрено имхо., но спасибо

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 230

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения