Если в Firewall Global Status - стоит Disabled, то все правила в
Port Filter Policy и Intrusion Detection не действуют?

читаем документацию -
Firewall Global Status - You can enable or disable the firewall on the DFL-100 here.
Intrusion Detection Status - You can enable or disable the Intrusion Detection System here.

Понятно.
Дык действуют Port Filter Policy или нет при Firewall Global Status - Disabled ?

а в документации что сказано ?
Там написано - "Firewall Settings - Port Filter Policy" - заголовок раздела такой есть.
И как, действуют они, если файрвол запретить, а они - часть настроек файрвола ?
Еще раз - прежде чем задавать вопросы - читаем (ВНИМАТЕЛЬНО !) документацию.

Прямого утверждения я не нашел! Чего и спрашиваю

Дабы избежать лишних вопросов - можно ли создать топик в котором указать типовую (правильную) конфигурацию?

Естественно, не действуют - раз файрвол отключен

Ну очень большая просьба к Сотрудникам D-LINK сделать это. Бится "головой" об настройки, зачастую не обладая достаточными знаниями, очень сложно. А типовые (правильные) настройки снимут множество вопросов.

какие именно "типовые" настройки Вас интересуют?

_________________
С уважением, Карагезов Владислав

Ну например:
что прописывать в Port Filter Policy, если:
на локальных машинах нужны http, ftp, pop3, smtp, telnet
удаленно администрировать ДФЛ100
нужно видеть из И-Нету на машине 192.168.0.240 порт 4444

В общем что нужно разрешить, а что запретить (по максимуму)?

Куча вопросов:
в каком порядке вводить Allow Deny для портов
какая разница между запрещенными и неуказанными в Allow Deny портами?
У кого выше приоритет у Port Filter Policy или IP Filtering ?
Как разрешить ИП который быз заблокирован Intrusion Detection ?

З.Ы. Вот у меня, лично, была ошибка следующая:
В Firewall Global Status стояло Disabled , а я в Port Filter Policy пихаю туеву хучу правил и радуюсь, что у меня все Супер. Пока уважаемый Krutskikh Sergei не поправил меня.

З.Ы.Ы. Я так думаю, что от правильных настроек и зависит как стабильно будет работать ДФЛ100 и будет ли он виснуть от портсканеров и всякой другой гадости.

1. Правила обрабатываются по порядку, т.е сверху вниз
2. Поэтому сперва пишем разреш. правила для конкретных сервисов (http, ftp, pop3, smtp, telnet) , затем запрещающие все остальное
3. Разница в том, что запрещ. порт - он запрещен ЯВНО , а если не указан - то на него действуют все правила и если он (порт) под них (правила) не подподает, то он разрешен. Поэтому последним правилом обычно ставиться - запретить ВСЁ.
4. приоритет - одинаков. Это просто разные способы отображения настроек файрвола
5. Как снять заблок. адрес и настроить удаленное управление - читаем в документации

Раз настроек никто дать не желает, поступим так (если конечно можно?):

Что я указал не правильно или чего не указал в настройках Port Filter Policy если:
1) из локалки народ стучится на порты 80, 8080, 21, 22, 25, 110 и 53 (как оказалось это порт ДНС по ТСП И ЮДП (спасибо за совет Krutskikh Sergei))
2) я удаленно админю ДФЛ 100 по 80 и 23 портам извне
3) и на 192.168.0.250 на порту 6502 живет НетОп который я прописал в Virtual Server как Yes NetOp 192.168.0.250 TCP 6502 Always

Вот чего я прописал в Port Filter Policy:

Yes Out Deny TCP 54-109 Always
Yes Out Deny TCP 26-52 Always
Yes Out Allow UDP 53 Always
Yes Out Allow TCP 53 Always
Yes Out Deny TCP 8081-65535 Always
Yes Out Deny TCP 111-8079 Always
Yes Out Deny TCP 81-109 Always
Yes Out Deny TCP 23-24 Always
Yes Out Deny TCP 1-20 Always
Yes Out Deny ICMP -- Always
Yes Out Allow TCP 21-22 Always
Yes Out Allow TCP 110 Always
Yes Out Allow TCP 25 Always
Yes Out Allow TCP 8080 Always
Yes Out Allow TCP 80 Always

Если можно расставьте эти правила в правильном порядке

Думается что лучше сделать так:

Yes Out Allow UDP 53 Always
Yes Out Allow TCP 53 Always
Yes Out Allow TCP 21-22 Always
Yes Out Allow TCP 110 Always
Yes Out Allow TCP 25 Always
Yes Out Allow TCP 8080 Always
Yes Out Allow TCP 80 Always
Yes Out Deny TCP 1-65535 Always
Yes Out Deny UDP 1-65535 Always
Yes Out Deny ICMP -- Always

Таким образом получается, что сначала просматриваются правила, разрешающие прохождение трафика наружу, а потом правила, запрещающие все остальное.

_________________
С уважением -- Александр Шебаронин.

Блин! Я наконец-то понял! Выставляем разрещающие правила в начало, если порт не совпадает ни с одним, на него распрастраняются правила находящиеся ниже, а не проверяются все правила.

Теперь наверное самый тупой вопрос :
Правила для портов которые отображаются в веб интерфейсе обрабатываются снизу в верх или с верху в низ?

Правила для входящих портов можно ставить отдельным блоком после исходящих?

Правила просматриваются сверху вниз. Для входящих портов ставьте как вам удобно -- хоть в замес Но для наглядности лучше их отдельно в кучку собрать.

_________________
С уважением -- Александр Шебаронин.

Извините за мою тупость:


первым получается проматривается правило
Yes Out Deny TCP 54-109 Always ?
Но оно введено последним Получается нужно ввести сперва запреты потом разрешения?

Просьба ногами меня не пинать - с вашей железкой столкнулся в первый (уже правда есть два штуки) раз, а привык общаться с дуракоустойчивыми програмными фаерволами аля ВыньПрокси