К сожалению, не нашёл раскрытой эту тему. В руководстве вообще всё написано без единого примера, и многое непонятно. Firewall rules в руководстве НЕ ОПИСАНЫ ВООБЩЕ!
Вопрос касается не только DIR-100, но и как минимум других устройств серии DIR (т.е. с аналогичным интерфейсом).
Если спрашиваю глупость - больно прошу не пинать.
===

Итак, имеется:
- DIR-100 в режиме роутера с НАТом;
- интернет (статический IP) входит в WAN и выходит через LAN1 (остальные не используются) *на свитч* (раздаётся по локальной сети в офисе), на выход всё работает корректно, на вход 80-й порт работает корректно, нареканий нет;
- DHCP отключен.

ВАЖНАЯ ПРОБЛЕМА №1:
при настройке ftp, порт 21 нормально открывается на локальный адрес 192.168.0.124 - хорошо. Но при попытке настроить на эту же машину диапазон портов 50000-60000 (для пассивного ftp), картина следующая: окна Private port НЕАКТИВНЫ (они вообще все у меня неактивны, я не могу ничего в них вписать) и при сохранении в них вписывается одинаковое, первое значение (50000-50000)!
ПОЧЕМУ??? Мне нужно открыть диапазон адресов - зачем же тогда там два, а не одно поле под число?

Дома на DIR-400 (DHCP пока включен, хотя планирую отключить) форвардинг диапазона 50000-60000 получилось настроить с первого раза без проблем.

===
А теперь к главному, ВАЖНАЯ ПРОБЛЕМА №2:

Нужно настроить терминальный доступ снаружи к серверу за DIR-100. Но не всем, а только обладателям определённого адреса, к примеру пусть это будет 77.77.77.77. А терминальный доступ это TCP 3389.

Что сделано:
- в Port forwarding настроен и включен форвардинг порта 3389 на компьютер, пусть, 192.168.0.2;
- в Firewall & DMZ настроены правила:
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
Для меня как программиста такое решение (ввиду полного отсутствия описания) показалось логичным.

Результат, наверное, очевиден для тех, кто (в отличие от меня) знает правила заполнения Firewall rules:
- машина 77.77.77.77 прекрасно подключается по 80 порту, но не может подключиться по 3389, и при сканировании портов - 3389 для машины 77.77.77.77 закрыт.

ВОПРОС: как правильно настроить Firewall для этого случая?

Прошу помочь настроить.
По-моему, вопросы по настройке Firewall'а должны быть очень популярными. Удивлён, что не вижу их прилепленными сверху форума.

Я не оптовик, но всё же лояльный покупатель, и надеюсь получить ответы НА ОБА вопроса.

_________________
//Mi

Пример настройки перенаправления портов для FTP сервера на DIR-100:



В заводской прошивке (v2.00) порт на внешнем интерфейсе всегда совпадает с портом на внутреннем, если перенаправляется один порт то в обоих полях пишется один и тот же номер.

Насколько мне известно, в будущих версиях прошивки авторы обещают, что номер порта на внутреннем интерфейсе можно будет задавать.



Я тоже искал ответ в документации, но не нашел...
Тут наверное следует вспомнить маршрутизатор DI-604 => в нем правила файрволла обрабатывались сверху вниз...

Если такая логика имеет место и в DIR-100, то понятно почему у тебя порт 3389 TCP закрыт - доступ блокируется 1 правилом, поскольку адрес 77.77.77.77 находится в диапазоне 1.1.1.1-254.254.254.254.

Возможное решение - поменять правила местами:
From WAN ALLOW 77.77.77.77 @ TCP 3389 to 192.168.0.2.
From WAN DENY 1.1.1.1-254.254.254.254 @ TCP 3389 to 192.168.0.2,

А теперь вопрос к спецам D-Link!
В DIR-100 есть 3 способа ограничения доступа:

1. Access Control - ограничение доступа по MAC адресу
2. Parental Control - фильтрация по именам сайтов и ключевым словам
3. Firewall & DMZ - пакетный фильтр

Вопрос заключается в следующем: в каком порядке они срабатывают?

Если DIR-100 работает по аналогии с DI-604(?), то сначала срабатывает фильтрация по MAC адресам (Access Control), а затем? Сначала Parental Control, а затем Firewall & DMZ или наоборот? Кстати в ни в документации по DI-604 этот важный вопрос тоже рассматривается.

Сразу же возникает вопрос: допустим я заблокировал доступ на ya.ru c помощью Parental Control, а можно ли будет загрузить это сайт зная его IP адрес, т.е. http://213.180.204.8

Предвосхищая возможные ответы, конечно можно проверить все это методом научного тыка... и заодно стать врагом №1, а также получить втык от начальства.

А я уже и рукой махнул на эту тему=)



А если нужно пробросить диапазон портов? Помогает? Потому что эти недоступные поля выглядят очень подозрительно. Я, честно говоря, не очень могу проверить, для этого нужно несколько одновременных подключений с разных адресов, я это в пору всеобщих отпусков устроить не могу.




Ммм... более того, я даже видел на форуме ссылку на такую бета-прошивку, она называется dir100_v201_en_b5.bin.
Однако мне порт-маппинг не нужен, а перепрошивка без причины, так сказать - признак дурачины. Мне просто нужно пробросить диапазон портов, а не один. А диапазон "5000-5000" напротив локального адреса меня несколько смущает.




Absolutely!
Покрутив разные варианты, я своего добился.
Неудобство этого подхода в том, что если поставить общее правило слишком рано - при непредусмотренно добавлении новых исключений прийдётся его вручную постепенно сдвигать ниже и ниже.
Я ожидал, что роутер во всех случаях проверяет _все_ правила по очереди, а не спотыкается о первое подходящее. Завершить проверку легче всего, а в хорошей манере кодирования - подумать о пользователе.




Да-да, это помогло.




Поддерживаю - вопрос хороший.

_________________
//Mi

люди любят велосипеды открывать однако...в инструкции же написано как правила обрабатываются.

_________________
2хDFL-210

Эээ... может, подскажешь, на какой странице это описано в руководстве к DIR-100, DIR-300, DIR-400?
Чтобы найти эту информацию, я провёл общий поиск (и просто по "Firewall rules", и по "d-link firewall rules", и отдельно - по сайту Д-линка с форумом), внимательно почитал форум и все FAQ, касающиеся роутеров.
Тема нигде не раскрыта.
Нужно было перекачать и прочитать весь ftp?=)

Можно было внести проверку _всех_ правил в прошивку.
Можно в интерфейсе на всякий случай (вдруг это случайно) предупреждать пользователя, что последующие правила будут заблокированы первым - это можно сделать на javascript, и у подавляющего большинства пользователей будет работать.
Я в своих программах почему-то всегда так делаю.

Ну, или, конечно, ещё проще - описать в руководстве к устройству (DIR-*). Чтобы ты мог убедиться, руководства выложены на ftp Д-линка (кроме, почему-то, мануала к DIR-400, его я могу выслать почтой или выложить где-нибудь у себя).

_________________
//Mi

Действительно, прочел мануал по ДИР-100 и не увидел ссылок на порядок обработки правил. Но все же, раз вы программист, с чего вы решили что Ваши правила должны снизу вверх обрабатываться? Вопрос логики. Да и логика должна была подсказать что все правила не должны обрабатываться а лишь первое удовлетворяющее критерию - как и при роутинге. Вообщем зря Вы профессию то упомянули. А разработчика инструкции незачот.

_________________
2хDFL-210

Просто первое, что пришло в голову. Когда нет описания, разрешено думать всё, что хочется=)

И я представлял не снизу вверх, а сверху вниз, но с приоритетом запрещения. Т.е. сначала "Запретить всё", а потом потихоньку открываем. А если запрет в конце - то это наоборот, перечёркивание всех предыдущих разрешений. Для софта это нормальный подход. Любую задачу реализовать по-разному можно, я же со свечкой не стоял.
Только это, по-моему, уже неважно=)

Понятно, что я не ожидаю мега-предусмотренности от такого начального девайса, и претензий по этому поводу никому не предъявлял, только просил объяснить.




А вот этого не надо=)
Есть разные виды компьютерных дел, и программист - не всегда системный администратор.
(А также обращение "на ты" с моей стороны - отнюдь не от хамства.)

_________________
//Mi

Ошибка заключается в том, что ты думаешь что в первое поле вводится номер порта на внешнем ip маршрутизатора, а во второе поле - номер порта на внутреннем ip (сервера).

Это не так. В первом поле вводится начало диапазона портов, во второе - конец диапазона портов на внешнем интерфейсе, причем диапазон портов на внешнем ip совпадает с диапазоном на внутреннем ip!

Обрати внимание на картинку в предыдущем посте... во втором правиле как раз перенаправляется диапазон портов!

допустим внешний ip маршрутизатора: 172.16.1.1
ip адрес сервера: 192.168.0.2

В первом поле цифра 5000, во втором 5100, это означает что:

Входящие соединения на диапазон портов 5000-5100 на 172.16.1.1 перенаправляются на диапазон портов 5000-5100 на 192.168.0.2

Если же необходимое перенаправить не диапазон портов, а один порт в обоих полях пишется одно и то же значение (см. правило №1).




Поскольку спецы D-Link'а молчат как партизаны, отвечаю на свой вопрос.

Parental Control - фильтрует только запросы к DNS!

То есть если доступ зарезан с помощью Parental Control, сайт все равно можно загрузить зная его ip адрес.

Таким образом фильтры срабатывают в следующем порядке:

1. Access Control
2. Parental Control, но только при разрешении имени (запрос к DNS)
3. Firewall & DMZ

Короче говоря, если хочешь зарезать доступ к сайту наверняка используй Firewall & DMZ

А можно примерчик? Наглядно?

Пример из админской жизни - зарезать доступ к одноклассникам

Инструменты: Mozilla Firefox, nslookup

1. Открываем страницу в Mozilla Firefox, http://www.odnoklassniki.ru/, Инструменты, Информация о странице, Мультимедиа:

Ссылки ведут odnoklassniki.ru, stg.odnoklassniki.ru

2. Используем nslookup:



3. Анализируем ip-адреса:

odnoklassniki.ru:
диапазон 212.119.208.28-212.119.208.29
диапазон 195.222.187.87-195.222.187.88

stg.odnoklassniki.ru:
диапазон 195.222.187.216-195.222.187.219

4. Решаем кому резать...

Допустим компы, которым нужно зарезать доступ находятся в диапазоне адресов 192.168.0.6-192.168.0.8

5. Режем



и далее в том же духе...

Главная проблема в том что ип адреса меняются... Parental Control тоже режет, но для всех сразу...

Супер!!!!!!!!! Спасибо!