1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт авг 07, 2025 11:55

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
dslychko
 Заголовок сообщения: dfl-800на DMZ не работает инет и DNS-Relay
СообщениеДобавлено: Пн ноя 10, 2008 18:36 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
На DMZ стоит web-сервер. Всё прекрасно работает.
Но не работает интернет и DNS-Relay.
Какие правила надо добавить ?


Есть такие.

Код:
1      web_server_map      SAT      any      all-nets      core      myip      http-all
2     web_server_map_allow     Allow     any     all-nets     core     myip     http-all
3     ftp     SAT     any     all-nets     core     myip     ftp-passthrough
4     ftp2     Allow     any     all-nets     core     myip     ftp-passthrough
5     rdp     SAT     any     all-nets     core     myip     rdp
6     rdp2     Allow     any     all-nets     core     myip     rdp
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 21:03 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Это вообще все правила какие есть?

Если есть еще, покажите все, в корне IP-Rules и его подпапках.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 11:31 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
IP Rules :
Код:
1     DNS_Relay                                   
2     ping_fw     Allow     lan     lannet     core     lan_ip     ping-inbound
3     lan_to_wan1                             
4     lan_to_pppoewan1                             
5     dmz

DNS Relay :
Код:
1     SAT_DNS_Relay      SAT      lan      lannet      core      lan_ip      dns-all
2     SAT_DNS_Relay     NAT     lan     lannet     core     lan_ip     dns-all

lan_to_wan1 :
Код:
1     drop_smb-all      Drop      lan      lannet      wan1      all-nets      smb-all
2     allow_ping-outbound     NAT     lan     lannet     wan1     all-nets     ping-outbound
3     allow_ftp-passthrough     NAT     lan     lannet     wan1     all-nets     ftp-passthrough
4     allow_standard     NAT     lan     lannet     wan1     all-nets     all_tcpudp    

lan_to_pppoewan1 :
Код:
1     allow-http-all      NAT      lan      lannet      wan1      all-nets      http-all

dmz :
Код:
1     web_server_map      SAT      any      all-nets      core      myip      http-all
2     web_server_map_allow     Allow     any     all-nets     core     myip     http-all
3     ftp     SAT     any     all-nets     core     myip     ftp-passthrough
4     ftp2     Allow     any     all-nets     core     myip    ftp-passthrough
5     rdp     SAT     any     all-nets     core     myip     rdp
6     rdp2     Allow     any     all-nets     core     myip     rdp
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 11:59 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Я заметил слово PPPoE. У Вас интернет по PPPoE через ADSL?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 12:05 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
С медиаконвертера. Это имеет какое-то отношение ?
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 12:29 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dslychko писал(а):
С медиаконвертера. Это имеет какое-то отношение ?
Это может иметь прямое отношение. У вас прямое подключение или по PPPoE?

Настоятельно рекомендую везде в настройках избавляться от упоминания интерфейсов any и заменять конкретными интерфейсами. Т.к. использование any создает потенциальные уязвимости, приводит иногда к неверной работе, противоречит идеологии работы файрволлов и затуманивает смысл настроек.

То, что использование any практикуется в инструкциях D-Link, очень плохо их характеризует. Не надо учиться плохому от других.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 12:54 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
Про any это понятно. Пока настраиваю девайс. Потом всё исправлю.
Подключение у меня через PPPoE с медиаконвертера.
Так как же всё таки сделать интернет на DMZ ?
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 13:24 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dslychko писал(а):
Про any это понятно. Пока настраиваю девайс. Потом всё исправлю.
Подключение у меня через PPPoE с медиаконвертера.
Так как же всё таки сделать интернет на DMZ ?
Я про any вам не абстрактно писал. Замените any на PPPoE. Если проброс портов будет продолжит работу, то это будет означать, что у вас точно PPPoE настроено и работает. И можно будет дать конкретные рекомендации.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 14:03 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
Когда any меняю на wan перестают работать правила. То есть web-сервер, ftp и rdp доступ не работают.
PPPoE настроено правильно. Из локалки интернет есть.
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 14:25 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dslychko писал(а):
Когда any меняю на wan перестают работать правила. То есть web-сервер, ftp и rdp доступ не работают.
PPPoE настроено правильно. Из локалки интернет есть.
Меняйте не на wan, а на интерфейс PPPoE. Не знаю точного его имени.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 14:53 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
Сделал. работает. Теперь правила http выглядят так.

Код:
1      allow-http-all      SAT      wan1      all-nets      core      myip      http-all
2     allow-http-all     Allow     wan1     all-nets     core     myip     http-all
3     web_server_map     SAT     lan     lannet     core     myip     http-all
4     web_server_map_allow     Allow     lan     lannet     core     myip     http-all


Интернета в DMZ по прежнему нет. Проверяю по ip адресам.
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 15:10 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dslychko писал(а):
Сделал. работает. Теперь правила http выглядят так.

Код:
1      allow-http-all      SAT      wan1      all-nets      core      myip      http-all
2     allow-http-all     Allow     wan1     all-nets     core     myip     http-all
3     web_server_map     SAT     lan     lannet     core     myip     http-all
4     web_server_map_allow     Allow     lan     lannet     core     myip     http-all


Интернета в DMZ по прежнему нет. Проверяю по ip адресам.


Если вам нужен выход в инет из DMZ такой же как из LAN, просто сделайте для DMZ правила аналогичные тем, что в папке lan_to_wan1.

dslychko писал(а):
3 web_server_map SAT lan lannet core myip http-all
4 web_server_map_allow Allow lan lannet core myip http-all[/code]
Если это попытка сделать web сервер доступным из LAN по WAN адресу, то это называется NATLoopBack и правило Allow надо поменять на NAT.
Цитата:
3 web_server_map SAT lan lannet core myip http-all
4 web_server_map_allow NAT lan lannet core myip http-all[/code]

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
dslychko
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 15:52 
Не в сети

Зарегистрирован: Ср авг 29, 2007 13:48
Сообщений: 66
Спасибо. Интернет теперь ходит.
А с релеем не получается. Делаю тоже по аналогии так :

Код:
3      Relay_DMZ      SAT      dmz      dmznet      core      lan_ip      dns-all
4     Relay_DMZ     NAT     dmz     dmznet     core     lan_ip     dns-all


В SAT 3-го правила указываю pri DNS провайдера.
lan_ip по умолчанию 192.168.1.1
Вернуться наверх
 Профиль  
 
YuriAM
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 18:16 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
dslychko писал(а):
Спасибо. Интернет теперь ходит.
А с релеем не получается. Делаю тоже по аналогии так :

Код:
3      Relay_DMZ      SAT      dmz      dmznet      core      lan_ip      dns-all
4     Relay_DMZ     NAT     dmz     dmznet     core     lan_ip     dns-all


В SAT 3-го правила указываю pri DNS провайдера.
lan_ip по умолчанию 192.168.1.1
lan_ip поменяйте на dmz_ip в обоих правилах

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 233

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB