Роль фаервола +NAT.

Не пойму к чему вопрос о роли dfl-210.
Мне нужно активировать в нем антивирус,
ввожу полученные серийники, а dfl постоянно твердит
"Could not establish a connection with the license server. Please try again later."
Интернет то во всей сети есть и без перебоев.

Во-первых не антивирус, а подписку IDP. Антивирус в DFL-260.

Во-вторых, проверяйте, чтобы DNS сервер, указанный в настройках DFL (в System) был для DFL доступен.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

И снова Вы правы!
действительно dfl-210 модель, упрощенная в плане антивируса и фильтра содержимого...
я в родной инструкции нашел только про IDP...

Про доступность dns и верность настроек, я разберусь плотнее.
Тогда позже отпишусь.
В любом случае спасибо за внимание.

Да, чуть не забыл, на случай не предвиденных проблем,
есть ли в dfl-210 возможность отключить на время IDP?

Просто не активируйте их. Хотя от бесплатных особого толку и нет, они почти не обновляются.

А насчет упрощения - это 260 более навороченный (если так можно выразиться). Он содержит в себе аппаратный сигнатурный сканер. Плохо это или хорошо - решать вам.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Созрел у меня ещё один вопрос. Необходимо разрешить определённые службы внутри локальной сети, созданной под DFL-210, но, в то же время, запретить коннекты этих же сервисов со стороны провайдерской сети с моей сетью, и выход оных от меня во внешку. Т.е., говоря проще, разрешить трафик для этих служб только внутри моей домашней сети.
Для примера возьмём виндовую службу NetBIOS. Отключаю встроенное правило drop_smb-all, создаю в самом верху таблицы IP Rules два правила, используя немного дополненную портами встроенную в прошивку DFL-ки службу smb_all:



1. Сначала разрешаю NetBIOS внутри моей домашней сети. Тут у меня некоторые сомнения. Во-первых, что лучше(правильнее) использовать в качестве действия для правила Allow или SAT? Во-вторых, может быть в качестве интерфейса назначения указать не lan, а core?

2. Следующим правилом запрещаю весь остальной NetBIOS-трафик.

Для обоих правил для тестирования выставил галку Enable logging, но в логе не появляется ни одного упомянания даже о блокировке NetBIOS, хотя, по идее, со стороны внешки должен быть вал NetBIOS-запросов.

В общем, у меня подозрение, что я что-то делаю не так. Что? Подскажите, пожалуйста.

У вас разрешающее правило не будет использоваться и не нужно т.к. source и destination одинаковые (lan/lannet). Это тот случай, когда ваши компьютеры сами "общаются" друг с другом, помимо шлюза.

Поэтому - внутри вашей сети разрешено абсолютно все.

И вообще, вы опять все путаете. Почему "с внешки", когда вы говорите о LAN как о источнике? Сооветственно, WAN блокируется default_rule и все, что не разрешено с его стороны вами, и так будет заблокировано.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1. dns для меня должны быть ns2.nic.ru и ns8.nic.ru, пинговаться они не пингуются, а вот как днс-серверы должны отвечать на запросы (по 53 порту).
Может правила для исходящих пакетов по 53 порту не хватает?

2. Выявились неприятные проблемы с почтой.
Из писем пропадают вложения, а вместо них появляется файл с перечнем имен файлов которые не понравились "Security Gateway"

Сделал серию тестов с почтой, это явно dfl-210.
По инструкции в него встроен некий фильтр содержимого ALG если не ошибаюсь. Но я неограничивал никакого содержимого! Я только использывал NAT и создал пару правил чтобы почта сваливалась на почтовый сервер внутри локальной сети.
В Objects - ALG - smtp-inbound я посмотрел пусто!

3. Такой вопрос по быстрому решению проблем:
есть ли у d-link служба поддержки с которой можно оперативно общаться по телефону? Может на худой конец мыло...

3. Оказывается координаты тех поддержки в контактах
http://dlink.ru/ru/contacts/


2. Нашел! В страшном сне бы не приснилось что можно редактировать то чего нет.

Objects - ALG - smtp-inbound





Вопрос 1. открыт

С одной стороны, то , что в направлении lannet->lannet разрешено всё - упрощает мою задачу. Но с другой - когда мне всё-таки по какой-либо причине потребуется отследить или заблокировать какой-нибудь тип трафика lannet->lannet, как мне это организовать, что и где придётся прописывать?


Я ничего не путаю, возможно, ошибся с формулировкой, поэтому и недопонимание: речь шла о провайдерской локалке, т.е. помимо предоставления выхода в глобальную сеть Интернет, провайдер имеет свою локальную сеть, вот эту локалку я и обозвал условно "внешка", т.к. подключена-то она к wan-интерфейсу (свою персональную локалку на lan-интерфейсе DFL я в своём посте обозвал "домашняя сеть").
default_rule - конечно хорошее правило, но, насколько я понял, на его настройки простому смертному даже взглянуть нельзя не то что подредактировать. В моём случае, я вторым правилом, вроде как, явно запрещаю весь NetBIOS-трафик, и отметил, что данное событие необходимо логировать. Так почему журнал чист на предмет данного события? Софтовые персональные файрволлы данный трафик отслеживали без проблем, он должен присутствовать на wan-интерфейсе в большом количестве.

Вы не можете контролировать трафик lannet - lannet, т.к. на LAN порту находится обычный неуправляемый коммутатор. Этот трафик никак не может быть обработан DFL.

Если Вы все же захотите этим трафиком как-то управлять, то придется менять схему подключения или ставить дополнительное оборудование.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Клиентов же можно заставить обращаться к шлюзу даже в подсети класса С, урезав маску. Однако поймут ли это DFL?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Фактически, ты имеешь в виду разбиение локальной сети на подсетки и назначение нескольких IP адресов, как шлюзов, для этих подсетей на LAN интерфесе? Это будет работать. Понятно, что это создаст доп. нагрузку на DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Помогите настроить интернет
провайдер netbynet
В Objects>Adress Book>InterfaceAddresses прописал dns'ы и ip адрес pptp сервера, в Routing>Routing tables>Main добавил маршруты на dns и pptp серверы. Настроил pptp client. pptp соединение поднимается , в interface status ip адрес pptp соединения 169.254.235.143 или подобный, соединение чаcто рвется. На интерфейс wan dhcp клиент нормально получает от провайдера ip адрес gateway и dns'ы.
При подключение с компьютера интернет работает нормально
Звонил провайдеру, они сказали, что роутеры в сети не запрещены
В чем может быть засада с ip адресом в pptp соединение?

Попытаю счастья в этой ветке.

Всем, привет. Ребята, помогите с выбором роутера.

- Через роутер будут ходить в инет человек 30-40.
- Ещё к этому роутеру снаружи будут подключаться человек 10 по ВПНу.

Так вот, подскажите, пожалуйста, на какую железку стоит обратить внимание.

Чуть не забыл, роутер должен быть с 2-мя ван-портами.

Я так понимаю, это что-то из дфл-серии.
В общем, с нетерпением жду ваших советов и соображений по этому поводу.
Заранее спасибо.