Все предыдущие ветки прочитал поэтому постараюсь резюмировать, возможно будет помощь на будущее.

Условия: стоит модем, настроен на постоянный коннект, IP получает сам и постоянный, стоит сервер (WIN), в сервере 2 сетевухи, в первую приходит модем, вторая идет в свитч, далее идет сетка компов. В будущем будет собран файрвол на сервере, но работа идет уже в данный момент посему нужно сделать задачи на модеме, тем более что по заявленным описаниям он все может.

IP модема - 192.168.1.1
IP сетевухи в серваке куда воткнут модем - 192.168.1.12
IP сетки в свитч - 192.168.1.7
Между этими соединениями мост для упрощения - 192.168.1.7
При таком коннекте и без настроек фильтров и тп. все работает, у всех есть нет.

Задачи:
1. Пробрасывать коннект извне на сервер при обращении на мой статический адрес который получает модем, реально нужен только RDP(порт 3389).

2. Пускать на сервер из вне (интернет), только с одного IP адреса, пускай это будет 195.206.40.177

3. Выпускать из сетки в нет только несколько IP - 192.168.1.1-192.168.1.7, 192.168.1.12

Пришел к выводу что
1. IP не принимает значения менее 1.0.0.1 и более 223.255.255.255 - учту, до этого бился...

2. RDP я прокидывал с помощью Virtual Server, при этом как уже вычитал IP Filter не работает. Зато задача 1 выполнялась нормально.

Теперь вопросы:
1. Если я пропишу DMZ Host адрес своего сервера, то при обращении на стат адрес полученный модемом все будет прокидываться на сервак?
2. Будут ли при пункте 1 (т.е. при DMZ Host) работать IP Filter?!!!!
3. Если да то настраиваем так?

Заходим в Advanced>IP Filter.
Outbound Filter, кнопка Outbound.
Нажимаем кнопку Add и создаем правило.

Например:
Filter Name: rule1
Protocol: Any
Source IP Type: IP Range
Source Port Type: Any
Destination IP Type: Any
Destination Port Type: Any
Start Source IP address: 1.0.0.1
End Source IP address: 192.168.1.0

Filter Name: rule2
Protocol: Any
Source IP Type: IP Range
Source Port Type: Any
Destination IP Type: Any
Destination Port Type: Any
Start Source IP address: 192.168.1.8
End Source IP address: 192.168.1.11

Filter Name: rule3
Protocol: Any
Source IP Type: IP Range
Source Port Type: Any
Destination IP Type: Any
Destination Port Type: Any
Start Source IP address: 192.168.1.13
End Source IP address: 223.255.255.255

С внутренними покончено.

Внешний IP - для меня самое главное, тут нужно прописывать адреса которым разрешено. Уже не понимаю как это работает ведь еслии там ничего нет, то получается вообще никого пускать не должно, а пускает...

Заходим в Advanced>IP Filter.
Inbound Filter, кнопка Inbound.
Нажимаем кнопку Add и создаем правило.

Filter Name: IN1
Protocol: Any
Source IP Type: IP Range
Source Port Type: Any
Destination IP Type: Any
Destination Port Type: Any
Start Source IP address: 195.206.40.177
End Source IP address: 195.206.40.177

Есть кто пробовавший подобное?
Или как часто админы заходят?

Если нужен только RDP, то достаточно одного правила Virtual Server. В случае использования DMZ будут перенаправлены все порты. Такмим образом, DMZ можно считать частным случаем Virtual Server. Здесь Вы правы.



Фильтры работают, но, правила Inbound Filter будут выполняться только для прямого роутинга, и не будут выполняться для перенаправленных запросов (virtual server, dmz).
Таким образом, следует реализовать задачу так: с помощью virtual server настроить перенаправление запросов снаружи на ip-адрес сервера, а уже на сервере с помощью файрволла запретить доступ со всех ip, кроме разрешенных.


Outbound Filter работает и позволяет блокировать исходящие соединения. В Вашем случае имеется одна подсеть 192.168.1.0/24.
Поэтому, достаточно и одного правила:

Filter Name: rule
Protocol: Any
Source IP Type: IP Range
Source Port Type: Any
Destination IP Type: Any
Destination Port Type: Any
Start Source IP address: 192.168.1.8
End Source IP address: 192.168.1.254

Так, Александр, спасибо.
Но огорчает что правила не работают и при DMZ.
А можно ли как-то настроить с помощью Routing чтоб и правила работали и не надо было городить файрвол на серваке. Если нет, может посоветуете как до установки в будущем нормального файрвола (возможно Керио) обезопасить простым средством компьютер на windows2003, включить какой-нить простой файрвол или прописать правила доступа к нему? ведь RDP легко сломать, получается большая дыра коль на этот RDP может зайти любой желающий.

К сожалению, нельзя.

Здесь могу только порекомендовать поискать ответ на форумах Microsoft TechNet или других, посвященных администрированию сетей на Windows-платформе.

Outbound фильтры при этом работают без проблем?

Господа! Подскажите, что нужно вписсывать в Advanced>IP Filter., что бы блокировать весь инет, но разрешить доступ (туда и обратно) к определенному диопазону адресов например 77.234.0.0 - 77.234.15.255 (77.234.0.0/20) для компа с сетевым адресом 192.168.1.2. Компы настроены роутером
Спасибо!

Вот и кончились мои мучения.
Outbound фильтры настроены, они работают не смотря на то есть ли DMZ или Virtual servers. Вместо inbound пришлось почитать мануал по Win2003 (в WinXP тоже работает) и оказалось все так просто до нельзя :)
Есть в нем такая суперь вещь как политики безопасности IP, есть локальные, есть домена. Нам нужны локальные, сделать просто.
Запускаем mmc в выполнить. Делаем добавить оснастки, добавляем "Политики безопасности IP" и там создаем новую политику и настраиваем фильтры. Делаем один, запретить все с любого на сервак и обратно. +фильтр, разрешающий определенным IP ходить на сервер, и главное что я забыл фильтр разрешающий серверу на все или на то что вам нужно...

Может можно проще, но судя по всему 2 правила. запретить все с 192.168.1.3-192.168.1.255 на 1.0.0.1-77.234.0.0 и запретить все с 192.168.1.3-192.168.1.255 на 77.234.15.255 -223.255.255.255

А разрешать надо что нибудь, или только запретить