Всем доброго времени суток.
Имеем модем D-Link DSL-2500U/BRU/D
Версия прошивки: RU_1.40

Модем работает в режиме роутера. Через меню NAT\Virtual Servers настроен проброс по порту 3389 на терминальный сервер. (Windows 2003 server, никаких дополнительных фаерволов на нем не стоит.)
Все работает, но немного не устраивает потенциальная дырявость системы.

Хочу разрешить доступ к терминальному серверу только с определенных IP/MAC адресов. Пользуюсь вкладкой Security\IP filtering\Incoming. Меняю политику с разрешения всего на запрет. т.е. разрешать доступ только с указанных адресов. Указываю разрешенные адреса и протоколы, вкладки source port, dest. adress, dest. port оставляю пустыми.

А дальше начинаются танцы с бубном.
Что есть эти адреса, что их нет, пускает на терминал все-равно отовсюду. Если убирать проброс в меню NAT\Virtual Servers, то не пускает никого.

Объясните, как можно подружить две эти функции.

Все еще нуждаюсь в помощи. Если подобная тема уже обсуждалась, то киньте, плиз, ссылку

Доброго времени суток.
Присоединюсь, имеем такой же модем D-Link DSL-2500U/BRU/D
Версия прошивки: RU_1.50
Проблема та же:
Включаю фильтрацию входящего трафика запретить весь и разрешить только с указанных IP, при этом проброшены порты в настройках виртуальных серверов. Итог - пускает отовсюду, то есть фильтрация не работает.
Интересный момент, при политике "разрешать весь входящий трафик и блокировать указанные IP" трафик блокируется.
Проверял на исходной прошивке 1.0 и на прошивках 1.40 и 1.50

фильтрация трафика работает как хочет. Тоже сталкивался блокируешь один IP а по факту блокируются все. Фильтр как нужно не работает админы почемуто не спешат профиксить его работу....странно.

Мда уж, столько советов по этой проблеме, аж дух захватывет
Может кто подскажет, а если подкрутить настройки iptables по телнету непосредственно на модеме, то даст ли это результат и как их сохранить?
Просто похоже из веб-морды правила как-то не совсем правильно создаются или что?

У меня тоже проблема с фильтрацией.

Модем D-Link DSL-2500U/BRU/D прошивка RU_1.40, пробовал 1.52beta.
Ситуация такая: Есть модем в режиме роутера, на лане 192.168.1.1, 6 компьютеров, надо запретить со всех кроме одно интернет.
Настраивал так в модеме:
Advanced setup->Security->IP Filtering->Outgoing
Здесь ставлю в ACCEPT
(By default, all outgoing IP traffic from LAN is denied, but some IP traffic can be ACCEPT by setting up filters)
Жму кнопку ADD, добавляю правило с именем COMP1
Protocol: ANY
Select IP Range by: IP Address
Source IP address: 192.168.1.2
Остальные поля оставляю пустыми, жму save/apply
Перехожу в Management->Save/reboot->нажимаю кнопку Save/reboot.
Модем перегружается. С этого компа с адресом 192.168.1.2 вроде всё работает, с других компьютеров нет.
Но это только на первый взляд, на самом деле с 192.168.1.2 не открываются некоторые сайты, например, www.mail.ru. Хотя сайт пингуется из командной строки. Пробовал телнетом на 80,25 порт mail.ru, smtp.mail.ru соответственно, соединение не устанавливается.
Стоит фильтр убрать и перевести Filtering в BLOCK, www.mail.ru открывается.
Помогите, что я делаю не так?
Или это глюк, то исправьте пожалуста!!!

Про mail.ru - связано с настройкой MTU. Если с 2-3 раз открывается, то точно MTU. Почему смена режима фильтрации так работает - это наверно особенности твоего провайдера, а может неизвестный глюк прошивки...

Дело не в МТУ. При снятии всех фильтров всё работает. Меил тоже.
К кому обращаться?

Ты не тем фильтром пользовался, а я не заметил. INGOING нужно.

INGOING? С чего это вдруг? Этот фильтр на WAN-интерфейс вешается, то есть на ADSL-интефейс. А он смотрит в интернет, следовательно он фильтрует, приходящие на него из интернета пакеты. А мне надо ограничивать запросы из локальной сети на интерфейсе LAN.

Все фильтры висят на WAN, точнее регулируют связь между WAN и LAN. Т.к. на OUT и IN ориентироваться трудно, то лучше воспользоваться логикой : создание коннектов внутрь запрещено (BLOCKED), создание коннектов наружу разрешено (ACCEPTED).
А сомнения твои напрасны : я просмотрел все темы про фильтрацию и сходил по ссылке - там все на картинках расписано. Ссылку сам ищи, да по-моему она в FAQ есть.

Абсолютно такаяже проблема, которая не рашается в режиме Block все работает а в рефие аксепт майл не работает некоторые сайты открываются не до конца. ПРОБЛЕМА ЕСТЬ !!!

Я например обслуживаю несколько серверов в своем городе, которые расположены в разных местах, так вот для работы RDP я использую 2 варианта.
1. Если Windows 2003 server, то настраиваю vpn, подключаюсь, а внутри уже делаю что хочу, при этом на модеме открываю всего лишь 1 порт 1723.

2. Если нет возможности сделать vpn, то я меняю порт rdp со стандартного на любой другой в винде или при помощи модема, делаю проброс порта с 2222 например на 3389, в итоге при сканировании ip видим открытым порт 2222, а что на нем висит хз.

_________________