Имеем dfl-800, прошивка 2.04.00 Nov 18 2005.
Настроен NAT, наружу все натится - юзвери довольны.....

но:

- не работает как DNS-сервер (если прописаны dns у пользунов на dfl-800, а в DFL-800 указаны dns на ISP) приходиться пока на юзврях ставить dns нашего ISP.

А МОЖЕТ ЛИ ОН ВООБЩЕ БЫТЬ DNS-СЕРВЕРОМ? (ведь простенькие 804 и 604 итп работали успешно)

- при создании правил для входящих соединений (разрешаем пару портов на машину внутри - или в lan или в dmz) из all-net wan1 to wan1-net wan1 создается впечатление, что они - правила не работают.

В логах на все НАШИ внешние запросы :
"Notice | DROP | Default_Rule | TCP | wan1".

Может где и есть примеры настроек с DMZ или LAN по для работы извне ... Описание родное ничего - хелп и того лучше - а вот ентого нет.....

- А вот тунельчики на соседнюю сеть на 804-м настроили нормально - все пашет со свистом.

Все делаем по инструкции... Правила создаем WebUI...


С уважением.....

Та же самая проблема постоянно появляються логи о то что тот или инной пакет отброшен согласно правилу по умолчанию,
а все разрешено. что делать?
p/n:IFL800E...A1
F/W - 2.04

Опишите поподробнее что и как вы настроили. Можно мне в почту.

_________________
С уважением -- Александр Шебаронин.

Кстати, взяли мы вчерась сей девайс и столкнулись с тойже проблемой
Из лана инет пашет, пингует
А из DMZ ничего не видать
Теперь напишу как настраивали
Мы всё это хозяйство воткнули в локалке у нас 10.0.0.х сеть
В лане файрволла у нас 192.168.0.х сетка соотвественно через файрволл компы в инет ходят, айпишники в 10.0.0.х сетки пингуют
Через DMZ втыкаем ещё один комп, у него соответсвенно тоже 10.0.0.х сетка.
В IP-rules чего только не прописывали, из дмз ничего не видно, в дмз тоже. Пинги режутся Default_access_rule Хотя из DMZ в WAN приписано что можно ВСЁ.
Что делать? Скажите что прислать.

Ах да, вот ещё какой вопрос возник. Если DMZ это демелитаризованная зона, т.е зона не находящаяся под защитой, то моего образования не хватает понять, почему это она очень даже защищённая и туда в эту зону никаким боком не попасть.

AFAIK, DMZ - это зона с доступными из и-нета серверами, безопасность таких серверов во многом зависит не только от фаервола, ОС, но и от безопасности приложения, доступного из и-нета. То есть, если там стоит "дырявый" веб-сервер в котором найдена "свежая" дырка, то никакой фаервол не спасёт от того, что этот сервер "взломают" через эту "дырку". Если такой сервер стоит в LAN, то можно считать, что у взломщика уже есть доступ почти ко всем LAN-ресурсам.

Поэтому такие серверы выносят в DMZ. И фаервол по идее фильтрует все 6 направлений в треугольнике WAN / DMZ / LAN, то есть с каждой зоны в каждую. Тогда при взломе сервера в DMZ всё равно доступ в LAN по идее сильно ограничен или отсутствует вовсе.

Вообщем проблему кое-как разобрали, но есть одно НО. В замечательной инструкции по эксплуатации расписано, как разместить ВЭБ сервер в DMZ c примерами правил, ну вообщем для людей, которые видимо мало что понимают в этом (типа меня). Сделал я как написано в инструкции и ничегошеньки у меня не заработало =(
Подскажите как настроить эту железку что бы ВЭБ в DMZ был виден как из WAN так и из LAN?

Вы свои настройки сами приведёте?

Masyuk

Заголовок сообщения: re... рабобралися по ходу DFL-800

не туда попало енто сообщение.......
--------------------------------------------------------------------------------

В общем то мы настроили .....

Польза от документации есть - только как то сумбурно )))
там где написано сеть - рекомендуют ставить конкретно IP )))???

Значит так ----

Wan1Net - 62.xx.xx.0/30
Wan1Int - 62.xx.xx.2
Wan1GW - 62.xx.xx.1

LanNet - 192.168.0.0/27
LanInt - 192.168.0.1

DMZNet - 192.168.2.0/30
DmzInt - 192.168.2.1

SerмInt - 192.168.2.2 (для удобства сами создаем)

соотвесттвенно dns и тп

Правила :

allow_standard - NAT - lan - lannet - wan1 - all-nets - all_tcpudp

ну и пару для запрета smb и типа разреш пинга наружу....

- всех из lan натить наружу ))) --- усе работает...!!!!!!!!!!!

енто правило по умолчанию после включения 800-го
______________________________________________

Идем дальше .....


правило для DMZ для http-in-all (80 и 443)

WANtoSAT - SAT - any - all-nets - core - wan1_ip - http-in-all

т.е. в SAT на SerInt (ip адрес своего сервера заранее созданного)

DMZNAT - NAT - any - all-nets - core - wan1_ip - http-in-all
___________________________________________________________

то же - по паре правил для RDP и SMTP например )))) все работает )))

Не понятна логика описания и интерфейса управления - там написано про пару фильтров по котором будет работать правило для dmz ))) там в какчестве Destination Network ставим по описанию wan1ip - конкретно адрес ip wan порта dlink-а - и тока тогда работает...

____________________Source_________Destination

Interface:____________any____________core

Network:_____________all-nets_________wan1ip


SAT

т.е. енто в SAT на ip адрес своего сервера в DMZ !!!!!!!!!!!!!!!!!!!!!!!

и обратно - то же самое в NAT ...


____________________Source_________Destination

Interface:____________any____________core

Network:_____________all-nets_________wan1ip


NAT ________________________________________________________

Это из описания )))) Логика рулит ))))

________________________________________________________

А вот как DNS сервер он все равно не работает ))))
________________________________________________________

Это работает у нас - то же .....впрочем как и тунели и тп....

Уважаемые, а не известно когда в firmware DFL-800 включат функцию DNS-релэя?