Здравствуйте
Как правильно настроить доступ извне к внутр. Web Server
для DFL 800

Спсибо

Firewall -> portmapping
Там прописываете с каких адресов разрешен доступ, какие порты хотите пропускать и на какую машину внутри сети осуществлять проброс портов.

Спасибо за ответ Станислав

но в меню DFL-800 нет пункта Firewall и тем более Portmapping

судя по тех. описанию в DFL-800 portmapping реализуется
на основе IP Rules и SAT
я настроил все пункты как описно в документации
но почемуто доступ извне к внутр. Web Server отсутствует


Заранее спсибо за ответ

прошу простить меня за мою невнимательность, не разгледел название устройства.
Да для использования PortMap на DFL-800 нужно использовать SAT(Static Adress Translation)
Нужно ещё реальзовать разрещающее правило для трафика с WAN в LAN. Если у Вас есть это правило, но Вы не можете соединится со своим сервером. Посмотрите, пожалуйста лог устройства.

Скажите, а мапить порты можно только в DMZ или в LAN тоже возможно?

На этом устройстве, на dfl-800
Есть отдельным интерфейсом выделена DMZ зона, куда можно помещять сервера, находящиеся за файрволлом. Сделано это для того, чтобы разграничить доступ из доступной интернету сети(dmz) и защищенной(lan) Чтобы есть кто-то и заломал Вашу DMZ зону, чтобы вражина не пробрался в lan. Мапить можно куда угодно, только сначала подумайте нужно ли это.

Уважаемый Станислав, приведите пример правил для проброски порта в LAN, что-то не получается сделать такое. На счет DMZ понятно, но есть необходимость прокинуть именно в LAN.

Обратитесь в почту, есть маленький мануал.

У меня такая же проблема. У нас есть домен, его ip-адрес у нас на wan1_ip фаервола (тоже dfl-800). Я сделал как написано в мануале про портмаппинг и sat, все работает, но только снаружи, а из внутренней сетки не пускает. Та машина, куда я заSATил, стоит в локальной сетке.
Также есть правило, разрешающее всем локальным клиентам идти на wan-интерфейс -> wan1_ip.

Сразу же после правила SAT, должно быть правло allow. Для разрешения доступа к ресурсам. Все правила должны быть направлены в интерфейс "core", на машине должен быть прописан шлюзом один из интефейсов устройства.

Именно так все и сделано!

Письмо отправлено.

2Stanislav Kozlov:
Спасибо за письмо, но это описание не более чем расширенное того, что идет в мануале в комплекте с железякой. Так что ничего нового я в общем-то и не узнал.
В общем-то из интернета в локальную сеть перенаправление портов работает на ура. Но вот с локальной сети LAN в локальную LAN так и не работает. Где-то затыкается, но где непонятно. Сегодня попробовал перенаправить с lan в dmz, но тоже не проходит.
Вот лог фаервола:

По логу:
192.168.1.1 - lan_ip
192.168.1.6 - машина, с которой я пытаюсь зайти.
rule "http" - SAT правило для перенаправления порта 8888 с wan1_ip(85.28.216.X) на 80 порт dmz_машины (192.168.10.5).
rule "http-allow"- NAT правило для разрешения и натирования прохода на порт 8888.
команда, с которой я пытаюсь зайти на 8888 порт обычная (можно и браузером, но так естественно нагляднее): "telnet 85.28.216.X 8888"
Визуально происходит следующее - после этой команды происходит ответ следующего содержания:

Все. Вообще стандартно после этого можно дать запрос "head" (это только для http применительно) и получит ругань, но этого не происходит, он просто не реагирует ни на какие команды.
Так же задумчиво и другие порты (ssh, ftp, etc) отвечают когда я с lan сетки к ним через wan_ip обращаюсь.
Странно все это, может просто dfl800 не может правильно перенаправить запрос по порту, когда запрос из локальной сети?
Кстати, раньше когда стоял DFL-700 такое перенаправление работало как с наружи, так и из lan...

_________________
С уважением, Андрей
системный администратор
ООО КамчатТехнолоджи

Какие Вы подразумеваете правила на устройстве для перенапрваления трафика с lan в lan? Им не нужны никакие маршрути и порт маппинги, они подходят друг другу по маске, весь трафик будет идти минуя FW.
Для каких целей Вы используете SAT правила, чтобы дать доступ к сети из LAN в DMZ? Для таких целей не нужно никаких SAT правил нужно обычное allow, которое даст доступ, оно будет просто перенаправлять трафик согласно правилам с интерфейса на интерфейс.
Я не понимаю, Вы пытаетесь войти в DMZ зону через WAN интерфейс командой telnet 85.28.216.X 8888? Ведь сервер к которому Вы даёте доступ имеет серый IP, т.е. опять таки достаточно allow.

2Stanislav Kozlov:
Вероятно вы меня не поняли. Объясню еще раз.
Пример этот реальный, это не тот тестовый, который я приводил до этого. У нас есть wan1_ip (85.28.216.x), к нему завязан домен www.xyz.ru. Внутри сети (lan или dmz - мне сейчас все равно) есть машина с вебсервером, который слушает 80 порт и имеет локальный ip-адрес. На dfl-800 стоит перенаправление порта 80 wan1_ip на опятьже 80й порт в локальную сеть на локальный веб-сервер. Все это описывается правилами sat и allow. Вроде бы все ок, но на наш веб сайт www.xyz.ru я могу зайти только извне, а из локальной сети - никак. Вот я о чем говорю! Я конечно понимаю, что можно как-то извратиться и на внутреннем dns-сервере переписать значение www.xyz.ru->85.28.216.x на новое www.xyz.ru->192.168.1.5, но я считаю (имхо, конечно), что нужно разобраться с перенаправлением портов.

_________________
С уважением, Андрей
системный администратор
ООО КамчатТехнолоджи