Здравствуйте.
Помогите пожалуйста в реализации следующей задачи:
1) Есть Сервер (Win2k3) 192.168.0.x к нему необходимо обеспечить возможность терминального подключения из филиала в другом городе.
2) В филиале используются тонкие клиенты, подключающиеся через стандартный Remote Desktop Manager
3) в главном офисе, где и установлен Di704UP внешний ip фиксированный
4) Филиал подключен к интернету через ADSL-модем Di504T, интернет настроен на самом модеме через Static ip
5) На 704UP необходимо разрешить подключения ТОЛЬКО(!!!) с ip-адреса филиала, соответсвенно чтобы с других ip соединиться с нашим сервером 192.168.0.x было не возможно.
PS: в данный момент интернет внутри главного офиса, раздается на основе фильтрации по MAC-адресам, нужно ли добавлять маки тонких клиентов для того чтобы они могли подключаться к серверу.

Все это я пробовал настраивать через Virtual Server, в результате получилось, что доступ может получиться любой кто попробуем зацепиться на соответсятвующий ip с помощью Remote Desktop Manager. Я полагаю все проблема кроется в грамотной настройки правил Firewall'а.
За ранее спасибо!

Обратите внимание, что при создании VirtualServer автоматически добавляются правила fw для доступа с wan интерфейса к внутренним ресурсам. По-умолчанию создается правило пропускающее всех, к указанному порту. Для ограничения доступа, Вам нужно скорректировать создавшееся правило, т.е. указать тот IP с которого вы хотите получать доступ. Для ограничения доступа из удаленного филиала, нужно создавать политики на 504-м.

Я обратил внимание что на 704Up при создание правила на Virtual Server автоматическое добавление соответствующего разрешающего правила в Firewall не происходит.
По поводу политик на 504, если не сложно, можно поподробнее?

Начёт того, что не происходит добавления правил -- не может быть. Если не создастся правило, то трафик не будет попадать внутрь сети. Так что посмотрите, пожалуйста внимательнее.
Вот картинка.
[img]http://bestpics.ru/full/done.png[/img]
На верхней части показан fw с автматически добавленным правилом ZZZ
на нижней, одноименный порт мапинг ZZZ[/img]

Начёт того, что не происходит добавления правил -- не может быть. Если не создастся правило, то трафик не будет попадать внутрь сети. Так что посмотрите, пожалуйста внимательнее.
Вот картинка.
[img]http://bestpics.ru/full/done.png[/img]
На верхней части показан fw с автматически добавленным правилом ZZZ
на нижней, одноименный порт мапинг ZZZ

Я говорю о том, что правило для Firewall не создается автоматом. Это совершенно точно, так как мне приходилось создавать его вручную.
На всякий случай вот версия прошивки:
Current Firmware Version: v1.01
Firmware Date: Thu, Mar 25 2004

Не могли бы вы подсказать как именно настроить правила для Firewall для того чтобы запретить подключения с любых ip, кроме заданных.

Разрешить доступ с wan порта в lan одному единственному IP к адресу терминального сервера.

Использую следующий набор правил для Firewall:



При установке галочки для правила "Deny default" у сервера 192.168.0.101 сразу пропадает доступ к интернет.
В чем моя ошибка, исправьте пожалуйста.

При установке только правил 1,2 и 4. Задача практически решена, доступ через RDC получают только указанные ip, вот только сам сервер от интернета отваливается.

Четвертое правило должно быть
deny wan,* lan,* *,*
Которое запретит доступ к LAN, с адресов не предопределенных правилами выше.

Спасибо за ответ, Станислав.
Действительно, Вы правы! Но при вышеотмеченных изменениях, сервер (192.168.0.101) не может выйти во вне (не работют http, pop3, smtp, telnet,).
Не могли бы вы, подсказать какие еще следует произвести изменения (возможно в правилах 3 и 5) для того чтобы он получил доступ в WAN.
Попутно вопрос, влияет ли на что-нибудь очередность следования правил?

В догонку: следует ли после каждого добавления правил производить перезагрузку по питанию (выдергивание вилки), или же достаточно сделать Reboot на соответствующей вклдаке?

Привила просматриваются сверху вниз.
тут будет одна большая загвоздка...
Дело в том, что трафик к 192.168.0.101 не будет попадать, т.к. есть ограничение на входящее правило, он будет воспринимать только адреса 212.замазано и 172.замазано, а уходить в интернет будет спокойно Можно поиграться с запрещяющими правилами, которые не будут давать доступа к портам. По-правилам нужно создавать правило для каждого из сервисов, пускать только по определенному порту.
Вот типичный пример ограничения одной машины с одним сервисом.
wan,172.14.14.14 lan,157.157.157.1 tcp,22
Это правило даст возможность обращаться ip 172.14.14.14 к 157.157.157.1 сквозь fw, но стоит нам добавить правило
wan,172.14.14.14 lan,157.157.157.1 tcp,*
То при отдаче NAT ом трафика, он будет зарубаться fw, т.к. он не подходит по маске.
И вообще, такое устройство для работы с 2-я серверами не предназначено или стесняет работу.

Т.е. если я правильно Вас понял, настроить правила таким образом, чтобы сервак имел полноценный доступ для просмотра http и отправки /получения внешней почты, не представляется возможным. Если не снять ограничения с того что, доступ из BAНа разрешен только для двух ip.
Некоторую стесненность в возможностях настройки Di704UP я уже ощущал ранее.
Станислав, чтобы Вы могли предложить в качестве его замены под требования указанные ранее. В будущем планируется наладить VPN между филиалами.

Нет, конечно же возможно. Просто потребуется большее колличество правил, нежели те 9, которые предоставлены производителем.
на будующее можно посоветывать dfl-200. У него более большее колличество правил и есть возможность помещять в DMZ зону несколько серверов, так же он может иницировать и принимать IPsec, быть PPTP/L2TP сервером, имеет локальную базу пользователей.
Единственный минус, у него нет Static DHCP.

Я делал так.

1. Создал виртуальный сервер например на адрес 192.168.0.5 и порт 3389.
2. Создал в файрволе 2 правила
1) Разрешающее WAN,xxx.xxx.xxx.xxx LAN,192.168.0.5 TCP 3389
2) Запрещающее WAN,* LAN,* TCP 3389
Вроде все работает.

Вопрос к сотрудникам D-LINK по DI-704UP.

1. В этой теме утверждается, что при создании виртульного сервера правило в файрволе создается автоматически, НО ОНО НЕ СОЗДАЕТСЯ.
2. Для какой цели в файрволе прописаны правила по умолчанию если они НЕ АКТИВНЫ. Я их удалял - правильно ли я поступил?