Устройство: DFL-210
Firmware Version: 2.11.03
Схема применения: [Провайдер] -> [DWL-2000] ->(500метров)-> [DWL-2100] -> (WLAN) -> [DFL-210] -> LAN/DMZ
Существует проблема:
1. Первая проблема. С первой точки доступа [DWL-2100] в лог DFL-210 постоянно валятся запросы:
2007-05-06
17:47:47 Warning ARP
00300049 Default_Access_Rule wan
192.168.1.50
invalid_arp_sender_ip_address
drop rev=1 hwsender=0011:957b:03fc hwdest=ffff:ffff:ffff arp=request srcenet=0011:957b:03fc destenet=000

IP разные. MAC и IP адрес в логах фаирвола [DFL-210] от первой точки [DWL-2100]. Подключаются без шифрования, через AP Client. DHCP на обоих отключено.
MAC адрес на фаирволе [DFL-210] подменён, для получения стат IP от провайдера.
Где, что проверить? Говорите, какую дополнительно информацию нужно написать, для выявления проблемы.

2. Вторая проблема. Замаплен FTP (порты: 20,21,1024- 65535). Проблема: клиенты из под IE и Opera не могут зайти, но в тоже время FlashGet у этих клиентов качает. Скорей всего проблема с пассивным режимом и утверждают, что проблема в фаирволе [DFL-210].
Мои настройки:
IP Rules:
1-й рабочий сценарий (моя группа сервисов Group allow_ftp_port: 20,21,1024-65535)
sat_ftp: SAT – any – all-nets – any – wan_ip - allow_ftp_port
satnat_ftp: Allow – any – all-nets – any – wan_ip - allow_ftp_port
Allow_ftp - Allow - any - all-nets - core - wan_ip - allow_ftp_port

2-й рабочий сценарий (встроенные сервисы) + на FTP сервере пассивный режим должен быть выключен
sat_ftp - SAT - any - all-nets - core - wan_ip - ftp-inbound
nat_ftp - NAT - dmz - dmznet - core - wan_ip - ftp-inbound
Allow_ftp - Allow - any - all-nets - core - wan_ip - ftp-inbound

ПРОБЛЕМА РЕШЕНА (созданием собственной группы сервисов) и отключением пасива на сервере

3. При сканировании из интернета были обнаружены открытые TCP порты 80, 110, 554, 1025, 1720, 1723, 1755, 2000, 6129, 6666, 6667, 6668. как их закрыть?
Мои настройки:
Service:
Group allow_all: dns-all, ftp, ftp_pass, http, https, ICQ, ...
IP Rules:
1 - ban - Drop - wan - ban_all - core - wan_ip - all_tcpudp
2 - SAT_DNS_relay - SAT - lan - lannet - core - lan_ip - dns-all
3 - Allow_DNS_Relay - Allow - lan - lannet - core - lan_ip - dns-all
4 - ping_fw - Allow - lan - lannet - core - lan_ip - ping-inbound
5 - drop_smb-all - Drop - lan - lannet - wan - all-nets - smb-all
6 - allow_ping-outbound - NAT - lan - lannet - wan - all-nets - ping-outbound
7 - allow_standard - NAT - lan - lannet - wan - all-nets - allow_all

4. Вопрос: можно как то лимитировать интернет у пользователей из LAN?

5. Ещё интересная вещь, по правилам мапил https в зону DMZ (в SAT Destination IP Address был указан внутренний 172.17.100.100), а замапился интерфес фаирвола [DFL-210], что где не так делаю?
SAT_remoute - SAT - any - all-nets - core - wan_ip - https-in
NAT_remoute - NAT - dmz - dmznet - core - wan_ip - https-in
Allow_remoute - Allow - any - all-nets - core - wan_ip - https-in

1. Адреса у точек случайно не одинаковые?
2. Интерфейс назначения должен быть core и настройте FTP_ALG, а не открывайте все порты.
3. По ним можно установить соединение? Похоже это из-за правила в пункте 2.

1. IP Разные (тоже сперва так подумал). MAC и IP адрес в логах фаирвола от первой точки. Подключаются без шифрования. DHCP на обоих отключено.
2. core исправил. С правилами для FTP, которые настраиваются по умолчанию не работает. Есла не сложно можно какой то рабочий вариан подсказать по настройке FTP_ALG.
3. Сканировал XSpider:
- порт 6129 точно открыт и светит во внеху (Имя сервиса : DameWare Mini Remote Control). Данный сервис используется внутри LAN.
- порт 1025 / tcp (Имя сервиса : LSA Executable and Server DLL (Export Version) RPC LSASS.exe

Просканировали из под Linux результат другой:
nmap -sV -PS *.ru
21/tcp open ftp?
25/tcp open smtp?
80/tcp open http?
554/tcp open rtsp?
1723/tcp open pptp?
6666/tcp open irc-serv?
7070/tcp open realserver?

Пример настройки приведенный в Инструкции не заработал?
Проверку на открыте порты делали без ftp-правила?

Не заработало!
Настраивал согласно сценарию:
18.2.2 Scenarios: FTP ALG Configuration
Example: ProtectingaFTPServer

Привожу свои настройки:
InterfaceAddresses
DMZ_FTP - 172.17.100.100
dmz_ip - 172.17.100.1
dmznet - 172.17.100.100/30
lan_ip - 192.168.1.1
lannet - 192.168.1.0/24
wan_ip - *.*57.88.104
wannet - *.*57.88.0/24

IP Rules
1 sat_ftp - SAT - any - all-nets - core - wan_ip - ftp-inbound
2 nat_ftp - NAT - dmz - dmznet - core - wan_ip - ftp-inbound
3 Allow_ftp - Allow - any - all-nets - core - wan_ip - ftp-inbound



Сканирование делал повторно после перенастройки FTP. Скорей всего XSpider ошибается. При сканировании из под Linux DameWare не был обнаружен.

ALG в правилах не забыли включить? И в FTP_ALG лучше обе галочки поставить.
В логах есть что-нибудь про блокировку ftp?

ALG использовал как и написано ftp-inbound

Обе галочки на это?
Allow client to use active mode (unsafe for client)
Allow server to use passive mode (unsafe for server)

Щас замапил htts, всё работает. Почему с FTP мапилка не хочет работать непонятно (именно с пассивным режимом проблема).


Нет ни слова.
Я уж излучался. Beliar может кинуть доступ от фаирвола в личку?

Ещё интересная вещь, по правилам мапил https в зону DMZ (в SAT Destination IP Address был указан внутренний 172.17.100.100), а замапился фаирвол, что где не так делаю?
SAT_remoute - SAT - any - all-nets - core - wan_ip - https-in
NAT_remoute - NAT - dmz - dmznet - core - wan_ip - https-in
Allow_remoute - Allow - any - all-nets - core - wan_ip - https-in

Это что за правило?
NAT_remoute - NAT - dmz - dmznet - core - wan_ip - https-in

Кстати из DMZ разрешен выход наружу?

Даже авторизация на ftp не происходит?

Делал по аналогии с FTP сценарием (согластно мануалу).




Нет, дополнительных правил не создавал. Все правила, которые есть в фаирволе написаны в первом посте.


Я написал в первом посте
1-й частично рабочий сценарий (мапился в локальную сеть, авторизация на фтп проходит, но проблема с пассивным режимом)
2-й полностью нерабочий сценарий

Добавьте натирующее правило DMZ -> WAN.
Из LAN в DMZ при обращении к wan_ip аналогчино не пускает?
Создали службу ftp_inbound?

allow_standard_DMZ - NAT - dmz - dmz_net - wan - all-nets - ftp_https_dns
Такое?

Не пускает.

ftp-inbound состоит из сервиса с 21 портом + ALG со стандартными настройками:
* Allow client to use active mode (unsafe for client) [x]
* Client data ports: [1024-65535]
* Maximum line length in control channel: [256]
* Maximum number of commands per second: [20]
* Allow 8-bit strings in control channel [x]
* Fail Mode: [deny]

Такое. И шлюзом для сервера должен быть dmz_ip.
Попытки обращения telnetом на 21 порт фиксируются?
На всякий случай проверьте еще все объекты в адресной книге.
dmz_ip - 172.17.100.1
dmznet - 172.17.100.100/30
Плохо друг с другм сочетаются.

Насчет ARP цитирую:
The ARP sender IP address could not be verfied according to the "access"
section, and the packet is dropped.
If all ARP sender IP addresses should be accepted without validation,
modify the configuration.
Какие-то проблемы с прохождением ARP через мост.

Так ошибка нашлась (но проверять буду вечером)
У меня для DMZ Default GW: 192.168.1.1 (lan_ip)


DMZ_FTP 172.17.100.100
dmz_ip 172.17.100.1 Это правильно?
dmznet 172.17.100.100/30 (исправлю на 172.17.100.0/30)
lan_ip 192.168.1.1
lannet 192.168.1.0/24
wan_ip *.*.88.104
wannet *.*.88.0/24

Interfaces/Ethernet/dmz
IP Address: dmz_ip
Network: dmznet
Default Gateway:none (но в DHCP раздается lan_ip 192.168.1.1)

DHCP/dmz
Interface Filter: dmz
IP Address Pool:dmz_net
Netmask:255.255.255.0
Default GW:lan_ip


Возможно, это из за того что сделана подмена MAC адреса на фаирволе, для получения стат IP от провайдера?

Нет врятли. Скорее всего какой-то глюк точек.