есть междомовая локалка
есть DFL-100 для дома, для семьи,
чтоб домашние компы в инет ходили и чтоб детишки хакс0ры не лазали из сетки
т.е.
----WANлокалка->DFL100->домашние машинки

внешний ип для DFL постоянный, прописан в договоре.
внутренний 192.168.0.1, он же прописан как шлюз для
домашних машинок.

всё работает чики
но если взять любой портсканер и попробовать поискать в локалке фтпшники анонимные
или просто посканить свой внешний ип на всякий случай
даже с небольшим количеством threads выставленным
то через некоторое время DFL-100 тихо засыпает.

Т.е. к примеру делаем tracert -d 195.34.32.11
(т.е. к вечнозелёному мту-шному)

имеем

Трассировка маршрута к 195.34.32.11 с максимальным числом прыжков 30

1 10 ms <10 мс <10 мс 192.168.0.1
2 * * * *
....долгодолгозвездочки...вязкие такие

превышено время ожидания.

Выдираем DFL-100 из розетки, втыкаем обратно и ура!
Трассировка маршрута к 195.34.32.11 с максимальным числом прыжков 30

1 10 ms <10 мс <10 мс 192.168.0.1 (это DFL)
2 <10 мс <10 мс <10 мс хост в локалке
3 <10 мс <10 мс 10 ms кошка
4 10 ms <10 мс 10 ms макомнет
5 10 ms <10 мс 10 ms макомнет
и т д

ВОПРОС: а чё с ним (DFL-100) происходит? локалка на оптике, опорная чёт там гигабиты, если сканить без
DFL то всё отлично, никакого суперпуперпотока пакетов быть не должно, а фактически имеем DoS.

Прошивка 1.40

В принципе мне пофиг, всех локальщиков с фильмами я примерно знаю, 15 фтп можно и в фтп клиенте потыкать, но ведь DFL корпоративная железка и падать не должен?

Старая песня о главном...

Меняй прошивку на 1.37. Но в этом случае не будет работать DMZ.

_________________
С уважением, Тихонов Алексей ака Barmaley

А исправлена ли данная грабля в последних прошивках?
У меня сейчас стоит 2.29 и периодически DFL подвисает.
Включил я недавно в сетку нотик с вирусом-червяком, дык DFL падал через несколько секунд после включения-вылючения питания.

При этом локальный адрес пингуется, но в мир не пускает

Если посадить это чудо на кампик с фаерволом и раздавать инет через програмный фаервол - работает как часы, но этож не дело!

Может у меня конечно ручки кривые?

ВАН:
ИП 64.64.64.64
Маск 255.255.255.252
Гейт 64.64.64.63
ДНС1 193.193.193.100
ДНС2 193.193.193.115


ЛАН:
ИП 192.168.0.1
Маск 255.255.255.0

ДМЗ не нужен, атаки из ЛАН мона не блокировать
Нужен максимум стабильности, чтоб я его запрятал под потолок и забыл!

З.Ы. Если спасет блокировка портов, то как это сделать? Теоретически нужны ВЕБ ФТП Поп3 СМТП

а хрена знает
у меня ща 2.29 и всё равно изнутри сетки я его могу грохнуть полюбому - два по 255 диапазона любым портсканером и опа ему
мож это фича такая, для SOHO, чтоб типа приходил админ dfl-а и убивал сканщика кирпичом нах

Причина этого достаточно тривиальна: переполнение таблицы NAT. Проведем эксперимент, если все подтвердится -- будем работать над исправлением.

_________________
С уважением -- Александр Шебаронин.

Поможет ли от данных граблей например блокировка портов? Вот у меня сейчас стоит:
Yes Out Allow TCP 21-22 Always
Yes Out Allow TCP 110 Always
Yes Out Allow TCP 25 Always
Yes Out Allow TCP 8080 Always
Yes Out Allow TCP 80 Always

А я возьму да остальным портам скажу дизабле?

З.Ы. Нет сил! Виснет на день по несколько раз! А локальный адрес 192.168.0.1 пингается мир нет. Помогает только отключения питания

Вот после таких граблей как объяснить начальству "Нах мы его купили?".

А покупали мы его как аппаратная альтернатива тогоже ВыньПрокси.

остальные порты в любом случае полезно закрыть. А входящие - вообще все, если нет внутр. сервисов, кот. должны быть видны снаружи.
И еще добавить правило : yes out deny icmp always -
заблокировать пинги наружу

А где блокировать то в
IP Filtering
или
Port Filter Policy

и вче разница и у кого выше приоритет (кто сильнее )?

И что такое:
Firewall Status Settings

Firewall Global Status Enabled Disabled

Я сделал Enabled и у меня из двух портов лан инет остался на одном

З.Ы. И если я удаленно админю ДФЛ и закрою 80 и 23 порты снаружи, я смогу админить его?

З.Ы.Ы Правда слегка не в тему, но:
если пингаю внешний ИП роутера, котрый сидит за АДСЛ модемом, кто отвечает модем или роутер (извините за ламерский вопрос )?

И вопросец следующего характера:
Что делает ДФЛ100 с АйПи который его сканирует на предмет безопасности (просканировать, например все порты)?

Я просканил Retina, дык он перестал пингатся с моего АйПи и отпал удпленный менеджмент, в настройках не нашел как подключить мой АйПи, пришлось рибутиться!

Он его блокирует !

Так и остался без ответа!

З.Ы. Правильны ли будут такие настройки в Port Filter Policy :

Yes Out Deny TCP 8081-65535 Always
Yes Out Deny TCP 111-8079 Always
Yes Out Deny TCP 81-109 Always
Yes Out Deny TCP 26-79 Always
Yes Out Deny TCP 23-24 Always
Yes Out Deny TCP 1-20 Always
Yes Out Deny ICMP -- Always
Yes Out Allow TCP 21-22 Always
Yes Out Allow TCP 110 Always
Yes Out Allow TCP 25 Always
Yes Out Allow TCP 8080 Always
Yes Out Allow TCP 80 Always

И что выставлять в Inbound, если у меня извне должны быть - удаленное администрирование, терминал сервер на 192,168,0,1 и например порт 40221?

у меня DI-824VUP+
и с ним происходит то же...

1. настройки фильтров правильные, но они - для исходящего трафика.
для входящего надо запретить ВСЕ, кроме необходимого
(в данном случае, разрешить на 40221 порт). Причем д.б. сперва разреш. правило, затем запрещающие
2. На пинги отвечает , естеств. - роутер. Как модем может отвечать ?
3. Если запретить снаружи доступ на 21 и 80 порт - естественно, удаленного управления не будет

Правильна ли блокировка всех входящих и исходящих UDP пакетов:
Yes Out Deny UDP 1-65535 Always
Yes In Deny UDP 1-65535 Always

И чтож оно такое
Firewall Status Settings

Firewall Global Status Enabled Disabled

Я сделал Enabled и у меня из двух портов лан инет остался на одном

Естественно, вкл. или выключить файрвол !
Он включился и заблокировал доступ.
Смотрите, какие правила у него настроены