Все правильно. Правила добавляются в голову списка.

_________________
С уважением -- Александр Шебаронин.

1. а что мешает последние три строчки заменить на

Yes Out Deny Any All Always

2. Можно сделать аналогично на входящие ???

Yes In Deny Any All Always

а условиями вышестоящими разрешить необходимые ?

Т.е. если это возможно то прописывая в начале эти две строчки, получим теже условия что и в ISA: Всё запрещено, что не разрещено. Почему бы это не реализовать по умолчанию. Защищённость будет выше.

Чесслово, этот топик лучше мануала. И с примерами тебе, и с объяснениями ....

У меня всего две машины за DFL-100
Firmware 2.29
Firewall включен, настройки как вы указали.
Только входящий ICMP включен, провайдер просит, чтобы линию пинговать.
Внутри все выключено, разрешены порты 53,80,8080,5190,15190,25,110,21,22
Причем продублировано в настройках файрвола и в IP Filtering
Снаружи мне ничего не надо DMZ disabled.
Никаких сканщиков у меня нет, на вирусы и червяки запроверялся.

Есть ли у вас проверенная настройка, которая не дает подобных подвисаний?

Или мне идти в сервис центр его сдавать?

ПОМОГИТЕ!!! ЗАМУЧИЛ ОН МЕНЯ ЗАДОЛБАЛО ХОДИТЬ К РОЗЕТКЕ!!!

выведи самопальную кнопку-выключатель от провода блока питания и прикрути прямо на стол
или пилот на стенку прибей - щёлк-щёлк и опа

С большим к тебе респектом...
Ты это у себя сам внедрил? А что другого варианта нет?
Хотелось бы найти более тривиальное решение.
Например "кувалда, лом, топор", чтобы вообще не возвращаться к данному вопросу. Иначе и "самопальная кнопка-выключатель" задолбит любого NETромантика...

Попробуйте очистить логи, нам это пока помогло уже второй день не валится.

Вот что у меня стоит Port Filter Policy:

Yes In Deny Any All Always
Yes Out Deny Any All Always
Yes In Allow ICMP -- Always
Yes Out Allow UDP 53 Always
Yes Out Allow TCP 53 Always
Yes Out Allow TCP 8080 Always
Yes Out Allow TCP 21-23 Always
Yes Out Allow TCP 25 Always
Yes Out Allow TCP 80 Always
Yes Out Allow TCP 110 Always
Yes Out Deny ICMP -- Always

А не скажут ли многоуважаемые чего нужно добавить-убавить?

З.Ы. И таки правила проверяются снизу вверх, тобишь первым проверяется правило Yes Out Deny ICMP -- Always, которое было внесено первым.

Что с настройками фаервола, что без настроек агрегаты (2 штукм) периодически (по несколько раз на неделю) виснут.
Клиенты (мои) очень недовольны! И я думаю, они возвернут мне в зад эти "супер" фаерволы!!!

Это уже становится не смешно! Если ДФЛ-100 действительно глючный, пусть Д-Линк признает это и заменит их на более достойные.

привезите в сервис

_________________
С уважением, Карагезов Владислав

...а после сервиса расскажите здесь помогло или нет, а то тема уж очень длинная и шибко популярная, так чтоб не было недосказанностей...

_________________
С уважением -- Александр Шебаронин.

кстати это ... тут последнюю неделю он прикольно стал вязнуть ...сначала просто всё замерзааааааааает как обычно ...заходим браузером на его веб-интерфейс, вот они закладочки, выбираем device status - nat sess.... и вот тут он все, уже недоступен из IE а доступен только для вытыкания из розетки

ЗЫ пасутся всякие животные
ЗЫЗЫ на самом деле сделал бы кто ну скрипт что ли какой
какую нибудь автонажималку-самозаходилку по хттп на dfl-100->device status->natsessions->clear нафиг
и в scheduler какой затолкать ...чтоб оно сессии сбрасывало раз в день к примеру

НАТ-сессии имеют таймаут 90 сек. потом чистятся. Чистятся, я проверял. Так что скрипт такой не поможет.

_________________
С уважением -- Александр Шебаронин.

ясно ...тогда остается только поставить негра с опахалом ...эээ... в смысле с электрическим выключателем

(ЗЫ . "...а в качестве системы охлаждения поставим негра с опахалом потому что этот диплом все равно никто читать не будет" (С) )

можно навеное и так, но проще - в сервис!

_________________
С уважением, Карагезов Владислав