D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » ADSL и последняя миля

Часовой пояс: UTC + 3 часа

ip filter

Модераторы: Sergei Asmankin, Sergik, Vladimir Degtyarev, Davydov Denis

Страница 1 из 1

[ Сообщений: 12 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

romanivanov

Заголовок сообщения: ip filter

Добавлено: Вт июн 29, 2004 21:59

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

Какой-то у меня полнейший Stealth получается
Имею 504g в режиме маршрутизатора.

Действую согласно инструкции
http://www.dlink.ru/kbase/ftpfiles/Prod ... se/f14.pdf

Код:

D:\Dlink>telnet 1.1.1.1 25
Connecting To 1.1.1.1...Could not open connection to the host, on port 25:
 Connect failed

это при включенном ipfilter

Код:

$get ipf global

Security Level        : Low       DMZ Default Action     : Accept
Public Default Action : Deny      Private Default Action : Deny

$get ipf session

Session Index         : 3
Time To Expire (sec)  : 56              Protocol              : TCP
IfName-1              : eth-0           IfName-2              : Self
IP Address-1          : 10.1.1.3        IP Address-2          : 1.1.1.1
Port-1                : 1615            Port-2                : 25
IN RuleID on IfName-1 : -               IN RuleID on IfName-2 : -
IN Action on IfName-1 : Deny            IN Action on IfName-2 : -
OUT RuleID on IfName-1: -               OUT RuleID on IfName-2: -
OUT Action on IfName-1: -               OUT Action on IfName-2: -

Session Index         : 115
Time To Expire (sec)  : 86400           Protocol              : TCP
IfName-1              : eth-0           IfName-2              : Self
IP Address-1          : 10.1.1.3        IP Address-2          : 10.1.1.1
Port-1                : 1590            Port-2                : 23
IN RuleID on IfName-1 : 10              IN RuleID on IfName-2 : -
IN Action on IfName-1 : Accept          IN Action on IfName-2 : -
OUT RuleID on IfName-1: 10              OUT RuleID on IfName-2: -
OUT Action on IfName-1: Accept          OUT Action on IfName-2: -

$get ipf rule entry ruleid 10

Rule id           : 10              Interface        : ALL
Rule Admin Status : Enable          Rule Oper Status : Disable
In Interface      : ALL             Direction        : OUT
Security Level    : Low             Blacklist Status : Disable
Logging           : Disable         Action           : Accept
Log Tag           : -
IP Frag Pkt       : Ignore          IP Opt Pkt       : Ignore
TCP Flag        : Any             Store State   : Enable
Src Addr    : Any
Dest Addr   : Any
Src Port    : Any
Dest Port   : Any
ICMP Code   : Any
ICMP Type   : Any
TransProt   : Any
IP Pkt Size : Any
TOD Rule    : Enable  Between 00:00:00        23:59:59

как только перевожу security level в none - всё начинает работать.
Реальный адрес сервера заменён на 1.1.1.1
Подскажите, либо я где-то ошибся, либо одно из двух?
:roll:

Заранее спасибо.

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Гость

Заголовок сообщения: Re: ip filter

Добавлено: Ср июн 30, 2004 09:19

romanivanov писал(а):

Код:

D:\Dlink>telnet 1.1.1.1 25
Connecting To 1.1.1.1...Could not open connection to the host, on port 25:
 Connect failed

это при включенном ipfilter

Код:

$get ipf global

Security Level        : Low       DMZ Default Action     : Accept
Public Default Action : Deny      Private Default Action : Deny

$get ipf session

Session Index         : 3
Time To Expire (sec)  : 56              Protocol              : TCP
IfName-1              : eth-0           IfName-2              : Self
IP Address-1          : 10.1.1.3        IP Address-2          : 1.1.1.1
Port-1                : 1615            Port-2                : 25
IN RuleID on IfName-1 : -               IN RuleID on IfName-2 : -
IN Action on IfName-1 : Deny            IN Action on IfName-2 : -
OUT RuleID on IfName-1: -               OUT RuleID on IfName-2: -
OUT Action on IfName-1: -               OUT Action on IfName-2: -

Session Index         : 115
Time To Expire (sec)  : 86400           Protocol              : TCP
IfName-1              : eth-0           IfName-2              : Self
IP Address-1          : 10.1.1.3        IP Address-2          : 10.1.1.1
Port-1                : 1590            Port-2                : 23
IN RuleID on IfName-1 : 10              IN RuleID on IfName-2 : -
IN Action on IfName-1 : Accept          IN Action on IfName-2 : -
OUT RuleID on IfName-1: 10              OUT RuleID on IfName-2: -
OUT Action on IfName-1: Accept          OUT Action on IfName-2: -

$get ipf rule entry ruleid 10

Rule id           : 10              Interface        : ALL
Rule Admin Status : Enable          Rule Oper Status : Disable
In Interface      : ALL             Direction        : OUT
Security Level    : Low             Blacklist Status : Disable
Logging           : Disable         Action           : Accept
Log Tag           : -
IP Frag Pkt       : Ignore          IP Opt Pkt       : Ignore
TCP Flag        : Any             Store State   : Enable
Src Addr    : Any
Dest Addr   : Any
Src Port    : Any
Dest Port   : Any
ICMP Code   : Any
ICMP Type   : Any
TransProt   : Any
IP Pkt Size : Any
TOD Rule    : Enable  Between 00:00:00        23:59:59

Заранее спасибо.

Что-то я ничего не понял....кто, куда и откуда?

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 09:59

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

специалисты не видят, что не проходит сессия №3
Очевидно, не происходит коннект из приватной сети в публичную

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Krutskikh Sergei

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 11:56

Сотрудник D-LINK

Зарегистрирован: Пн янв 19, 2004 11:15
Сообщений: 853
Откуда: Д-Линк, Н.Новгород

romanivanov писал(а):

:D специалисты не видят, что не проходит сессия №3
Очевидно, не происходит коннект из приватной сети в публичную

Специалисты все видят

Иногда даже то, о чем не написано

А по сути вопроса - включаем LOW, начинает работать фильтры
Имеем 10 правило - пропускать все всюду, направление. "OUT"
Имеем правило по умолч. на внутр. инт. - ЗАПРЕТ
Имеем сессию 3 - "IN" на внутр. порту - действие "ЗАПРЕТ"
Так что все правильно !
Нет разрешающего правила для "IN"

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 13:09

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

Krutskikh Sergei писал(а):

Специалисты все видят

Иногда даже то, о чем не написано

на это и рассчитываем :-)

Krutskikh Sergei писал(а):

Нет разрешающего правила для "IN"

А зачем тогда эту конфигурацию рекомендуют мне на форуме?
Мне хотелось всего лишь конфигурацию в которой на выход всё разрешено, а на вход всё запрещено.

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Krutskikh Sergei

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 13:34

Сотрудник D-LINK

Зарегистрирован: Пн янв 19, 2004 11:15
Сообщений: 853
Откуда: Д-Линк, Н.Новгород

romanivanov писал(а):

Мне хотелось всего лишь конфигурацию в которой на выход всё разрешено, а на вход всё запрещено.

Тогда не надо фильтры включать вообще
Достаточно НАТ.
Если не разрешены вирт. сервера и всякие бимап-трансляции,
то НАТ входящий трафик не пустит, разрешено сессии инициировать только изнутри

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 13:40

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

Ваш коллега утверждал http://www.dlink.ru/newphorum/viewtopic.php?t=3218
обраное относительно необходимости фильтров

Цитата:

Потому что не было разрешающего правила. Ознакомьтесь с принципами ip фильтрации. Все станет понятно.

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Гость

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 13:47

romanivanov писал(а):

Ваш коллега утверждал http://www.dlink.ru/newphorum/viewtopic.php?t=3218
обраное относительно необходимости фильтров

Цитата:

Потому что не было разрешающего правила. Ознакомьтесь с принципами ip фильтрации. Все станет понятно.

Во-первых, коллега утверждал то же самое.
Во-вторых, в базе знаний опечатка. Нужно делать так: Private default action - accept. DMZ и Public - deny.

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 14:00

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

Виктор, я Вас лично уважаю, но для меня фразы

Viktor Platov писал(а):

Потому что не было разрешающего правила. Ознакомьтесь с принципами ip фильтрации. Все станет понятно.

Krutskikh Sergei писал(а):

Тогда не надо фильтры включать вообще

говорят о разном. В первом случае, что правила нужны, а во втором, что нет.

А кроме того, сколько бы я не изучал принципы фильтрации до посинения, пока будет

Viktor Platov писал(а):

Во-вторых, в базе знаний опечатка. Нужно делать так: Private default action - accept. DMZ и Public - deny.

я с ними никогда не разберусь.

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Гость

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 14:05

romanivanov писал(а):

Виктор, я Вас лично уважаю, но для меня фразы

Viktor Platov писал(а):

Потому что не было разрешающего правила. Ознакомьтесь с принципами ip фильтрации. Все станет понятно.

Krutskikh Sergei писал(а):

Тогда не надо фильтры включать вообще

говорят о разном. В первом случае, что правила нужны, а во втором, что нет.

При включенном ip filter нужно разрешающее правило. Если же он выключен, то ничего не надо, все и так будет работать. Противоречия нет.

romanivanov писал(а):

А кроме того, сколько бы я не изучал принципы фильтрации до посинения, пока будет

Viktor Platov писал(а):

Во-вторых, в базе знаний опечатка. Нужно делать так: Private default action - accept. DMZ и Public - deny.

я с ними никогда не разберусь.

Приношу свои извинения.

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 14:27

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

ладно вечером попробую еще разок, но Если Не Заработает :evil:

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

romanivanov

Заголовок сообщения:

Добавлено: Ср июн 30, 2004 20:12

Зарегистрирован: Пт май 14, 2004 14:09
Сообщений: 83
Откуда: Москва

рабочий вариант заключается в следующем:
1. удаляем все правила ip filter
2.

Код:

$ create ipf rule entry ruleid 10 act accept dir out ifname all inifname all log disable seclevel low storestate enable
$ modify ipf global seclevel low
$ modify ipf global pvtdefact accept
$ modify ipf global pubdefact deny
$ modify ipf global dmzdefact deny
$ commit

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G

Вернуться наверх

Страница 1 из 1

[ Сообщений: 12 ]

Список форумов » ADSL и последняя миля

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения