У меня такая проблема с фильтрацией.

Модем D-Link DSL-2500U/BRU/D прошивка RU_1.40, пробовал 1.52beta.
Ситуация такая: Есть модем в режиме роутера, на лане 192.168.1.1,
6 компьютеров, надо запретить со всех кроме одного выход в интернет.
Настраивал так в модеме:
Advanced setup->Security->IP Filtering->Outgoing
Здесь ставлю в ACCEPT
(By default, all outgoing IP traffic from LAN is denied, but some IP traffic can be ACCEPT by setting up filters)
Жму кнопку ADD, добавляю правило с именем COMP1
Protocol: ANY
Select IP Range by: IP Address
Source IP address: 192.168.1.2
Остальные поля оставляю пустыми, жму save/apply
Перехожу в Management->Save/reboot->нажимаю кнопку Save/reboot.
Модем перегружается. С этого компа с адресом 192.168.1.2 вроде всё работает, с других компьютеров нет.
Но это только на первый взляд, на самом деле с 192.168.1.2 не открываются некоторые сайты, например, www.mail.ru. Хотя сайт пингуется из командной строки. Пробовал телнетом на 80,25 порт mail.ru, smtp.mail.ru соответственно, соединение не устанавливается.
Стоит фильтр убрать и перевести Filtering в BLOCK, www.mail.ru открывается.
Помогите, что я делаю не так?
Или это глюк, то исправьте пожалуста!!!

Это раздел управляет доступом из Интернета на твои компы

А надо задавать в разделе

Advanced setup->Security->IP Filtering->Intgoing
Можно поставить запреты на 5 IP или на диапазон.
Можно конечно сменить режим на BLOCKED, но внимание : если дашь разрешения не тому, то в модем уже тоже не войдешь. Хотя может я ошибся где-то еще в свое время, когда фильтрами играл
Временное решение : войти по телнет, но лучше сразу ресет.

Ага. Открываем Incoming IP Filtering Setup и читаем:
By default, all incoming IP traffic from WAN is denied, but some IP traffic can be ACCEPT by setting up filters.

Проверил на прошивке RU_1.40
Advanced setup->Security->IP Filtering->Incoming
Поставил в ACCEPT.
Создал правило:
Жму кнопку ADD, добавляю правило с именем COMP1
Protocol: ANY
Select IP Range by: IP Address
Source IP address: 192.168.1.2
Остальные поля оставляю пустыми, жму save/apply
Перехожу в Management->Save/reboot->нажимаю кнопку Save/reboot.
Модем перегрузился. Интернет есть со всех компов.

Пробовал режим фильтра в BLOCK поставить, ничего не меняется инет как был на всех компах так и есть.

Если вы решили устанавливать правила, то вам нужно внимательно разобраться что такое Incoming и Outgoing и осознать что такое Source address и Dest. Address для каждого направления...
и будет вам счастье в правилах!
(сделаю подсказку - в вашем случае в Incoming нада задавать Dest. Address, а не Source address)

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Прежде, чем писать здесь, я как раз разобрался, что такое инкомминг и оутгоинг фильтры на данной железке. А вопрос задал потому что они не работают. outgoing почти работает, но есть проблемы с открытием некоторых сайтов. Согласен, что в последнем случае при использовании incomming фильтра надо писать айпи компов в дестинейшн.

Но tundra37 сказал, что
Advanced setup->Security->IP Filtering->Outgoing
Это раздел управляет доступом из Интернета на твои компы
и что надо:
А надо задавать в разделе
Advanced setup->Security->IP Filtering->Intgoing

Я попробовал сделать, как он посоветовал... Но результат вообще нулевой...

tundra37 правильно вам подсказал, он просто не уточнил куда вписывать IP подозревая что вы в курсе дела.

пропишите правила правильно, если работать не будет на разрешение одного IP, тогда смените политику и пропишите диапазон запрещающих IP. хотя... должно работать...

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Извините, Anri_K, если Outgoing управляет доступом из Интернета на твои компы. Я так понимаю WAN-TO-LAN.
То incomming откуда куда?

да и ещё насколько я помню политика в первом вашем случае должна быть BLOCK. т.е. блокировать всё кроме указанных.

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

нет, наоборот, пакеты двигаются от вас в "мир" и на них проверяются заголовки пакета правилами описанными в Outgoing,
а когда вы получаете на эти пакеты ответы, то заголовки пакетов ответов проверяются правилами Incoming.

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Во-перых.

На вопрос:
tundra37 написал, что
Advanced setup->Security->IP Filtering->Outgoing
Это раздел управляет доступом из Интернета на твои компы
А надо задавать в разделе
Advanced setup->Security->IP Filtering->Intgoing

Вы ответили:


А сами теперь пишете:
нет, наоборот, пакеты двигаются от вас в "мир" и на них проверяются заголовки пакета правилами описанными в Outgoing,
а когда вы получаете на эти пакеты ответы, то заголовки пакетов ответов проверяются правилами Incoming.

Во-вторых я с вами согласен.
Incomming фильтр проверяет пакеты, приходящие из интернета, со стороны ADSL интерфейса. А outgoing фильтр проверяет пакеты идущие из локальной сети, с LAN интерфейса в интернет.

В-третьих:
Вы пишете:
да и ещё насколько я помню политика в первом вашем случае должна быть BLOCK. т.е. блокировать всё кроме указанных.

Я не зря вставил впервом сообщении комментарий из настроек модема привёл:

Outgoing IP Filtering Setup (когда BLOCK)
By default, all outgoing IP traffic from LAN is allowed, but some IP traffic can be BLOCK by setting up filters.

Outgoing IP Filtering Setup (когда ACCEPT)
By default, all outgoing IP traffic from LAN is denied, but some IP traffic can be ACCEPT by setting up filters

По-английски понимаете?

вы попробовали сделать по совету?

там с переводом



не совсем внятно описано. на сколько я помню, когда разбирался с правилами, любая установленная политика и не прописанные при этом правила будет работать как разрешено или как то так, т.е. пока вы не пропишите правило политика работает не совсем как описана.

фактически вашу проблему можно решить и через In и через Out, главное правильно прописать то или иное правило на направление.

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Anri_K, у вас у самого работают эти фильтры?

Да если б не работали не писал бы. только модемы у меня чуть чуть другие. более того, они работают на запрет диапазона и в комбинациях разных с разрешениями портов. я точно так же как вы мучился, пока разобрался.

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Наверное дело в этом



В форум я обратился уже из безысходности, я перебрал все мыслимые и немыслимые комбинации. Даже первым правилом прописать www.mail.ru, все 4 его айпи адреса что мне днс давал. Всё работает как надо, но вот меил
BLOCK и ACCEPT работают правильно, так как описывается на английском в настройках.

BLOCK - по умолчанию, разрешён исходящий из LAN трафик с любого айпи, но с определённых айпи может быть блокирован путём настройки фильтра.

ACCEPT - по умолчанию, запрещён исходящий из LAN трафик с любого айпи, но с определённых айпи можеть быть разрешён путём настройки фильтра.

Да, и оба фильтра находятся на модеме первоначально в режиме BLOCK, иначе бы они просто блокировали весь трафик.

Аналогичная ерунда была и на модеме DLINK DSL-500T.

http://www.dlink.ru/ru/faq/156/141.html

fidget Поэтому разные модемы не при чем.