Модель DLINK DI-604.

Нужно настроить firewall.
Открываю web-interface>advanced>firewall>далее Enabled
и даю имя правилу.
Затем Allow или Deny.И диапазоны адресов.

Сказали,что общий принцип настройки firewall -сначала запрет всего,а потом открытие того,что нужно.Т.к. приоритет у разрешающих правил.

Как быть,подскажите.Как грамотно настроить firewall?

По умолчанию, у Вас должно быть 2 или 3 правила. Самое нижнее - это основное правило любого вменяемого админа, оно блокирует весь трафф в Вашу сеть, второе - это для разрешения всего траффика из Вашей сети. Не самое лучшее решение в глобальном понимании, но для рынка домашних роутеров самое оно. Их за Вас вписали в DLink.

Allow Ping WAN port WAN,* WAN,* ICMP,*
Deny Default *,* LAN,* *,*
Allow Default LAN,* *,* *,*


Считается, что опасность таится снаружи вашей сети. Общее блокирующее правило для WAN есть. Поэтому обычно применяются некие правила разрешающие какую-либо активность (Allow) снаружи.

Принцип проверки правил простой - они проверяются сверху. Пакет сверяется по очереди с каждым правилом и как только попадается подходящее - происходит действие, описаное в правиле (разрешить или блокировать). При отсутсвии совпадений весь траффик упирается в предпоследнее правило для исходящего и проходит наружу, весь траффик снаружи - отражается последним правилом... Спасибо DLink за заботу

Есть 2 особенности, на которые я хочу обратить ваше внимание (их больше, но эти главные).
1. Всего правил может быть 8
2. Создание Virtual Servers порождает правило, которое нельзя удалить (как и стандартное), но можно ужесточить.

Спасибо за ответ.
Так значит два правила уже сконфигурированы или нужно задавать их явно?

Или задавать только разрешающие правила?

Да, 2 правила есть всегда, могут быть еще несколько дополнтельных, которые создает само устройство.
Откройте страничку настройки firewall и там все увидите.

На всякий случай - основные принципы настройки любого firewall вам любезно подскажут google или yandex.
Или, например, в номере CHIP за июнь 2007 года как раз была статья на эту тему. http://ichip.ru/download/index.php?id=4090

Для устройств DI эти правила просты. Разрешен весь трафф изнутри сети, заблокирован весь трафф снаружи. Если хотите пропустить что-то снаружи - создаете правила вида:
Allow Name1 port WAN,* LAN,*
Если хотите что-то заблокировать на выход в инет:
Deny Name2 port LAN,* WAN,*

вот у меня еще вопрос...
я приятеля из Лс попросил просканить порты, и он сказал, что 4 открыто. 25, 110, 125, 149, если не ошибаюсь.
Те правила, которые написаны выше, у меня стоят. как закрыть эти 4 порта??

Не должно быть такого, если у Вас ТОЛЬКО эти 3 правила.
Чем проверялось? Какая методика сканирования?
А провайдер не переадресует трафф по этим портам? Спросите у него на этот счет....

P.S.
Судя по списку портов - посмотрите раздел VirtualServers. Не включен ли там проброс этих портов?

Еще пусть Ваш приятель попробует сделать
telnet <ваш ip> 25
Интересно, какой там будет ответ.