Народ может кто обьяснить по принципу правил!

Если оставить такое!
1 all_tcp_udp_icmp Drop lan1 lan1net wan1 all-nets all_tcpudpicmp
3 http_all NAT lan1 lan1net wan1 all-nets http-all
4 allow_ping-outbound NAT lan1 lan1net wan1 all-nets ping-outbound
5 allow_ftp-passthrough NAT lan1 lan1net wan1 all-nets ftp-passthrough
6 allow_standard NAT lan1 lan1net wan1 all-nets all_tcpudp

Инета нет!
2 drop_smb-all DROP lan1 lan1net wan1 all-nets smb-all
3 http_all NAT lan1 lan1net wan1 all-nets http-all
4 allow_ping-outbound NAT lan1 lan1net wan1 all-nets ping-outbound
5 allow_ftp-passthrough NAT lan1 lan1net wan1 all-nets ftp-passthrough
6 allow_standard NAT lan1 lan1net wan1 all-nets all_tcpudp
при таком!

хочу закрыть все порты и открыть только нужные!
может что не хватает? помогите люди добрые ) что не так

Если бы вы еще сформулировали свой пост, чтобы смысл был понятен. И подробнее описали, то что хотите достичь ...

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

извеняюсь что без конретики! )

хотелось бы так, закрыть все порты и дать выход определённым

Перекрыть доступ наружу для NetBIOS

drop_smb-all DROP lan1 lan1net wan1 all-nets smb-all

Разрешить выход наружу нужным сервисам. Лучше указать группу разрешенных серсвисов
http_all NAT lan1 lan1net wan1 all-nets http-all
allow_ping-outbound NAT lan1 lan1net wan1 all-nets ping-outbound
allow_ftp-passthrough NAT lan1 lan1net wan1 all-nets ftp-passthrough

Разрешить DNS. 3 вариатна:
1. У вас есть свой DNS сервер, тогда разрешить выход наружу только ему

2. разрешить выход наружу всем клиентам до DNS сервера провайдера.

3. Настроить DNS Relay

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

псибо за помощь, но не до конца понял!
как я делаю!
закрываю ВСЁ на выход и на вход
all_tcp_udp_icmp Drop lan1 lan1net wan1 all-nets all_tcpudpicmp

далее открываю 80,8080,443 натом
http_all NAT lan1 lan1net wan1 all-nets http-all

далее открываю ping исходящий
allow_ping-outbound NAT lan1 lan1net wan1 all-nets ping-outbound

а эти правила можно даже не считаь
allow_ftp-passthrough NAT lan1 lan1net wan1 all-nets ftp-passthrough
allow_standard NAT lan1 lan1net wan1 all-nets all_tcpudp - делал для проверки натом все порты!!

по логике должно работать как минимум инет!!
как я понял по Faq на Dns-relay надо сделать вместо 12,0,01 свои ДНС что вбиты на wan1??
тогда вопрос зачем их вбивать в настройки, если он не ходит??

вы уж не обесуте от моих вопросов, но первый раз работаю с таким чудовищем! и как то не привычно и странно он работает!

Читайте руководство по порядку применения правил (п 3.5.2). Вы запретили трафик в начале. Это правило применяется и обработка прекращается.
Так работать не будет в принципе.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

значит трафик запрещается в конце?
если так! могли бы просто написать )) не чего бы не произошло )

Большое спасибо за помощь...

поставил блок правило вниз и оно не срабатываем первым!
идёт деволтное!

может кто нить расказать как сделать на dfl чтоб было правильно?

Всегда не вредно припасть к первоисточникам. Тем более, что я не поленился и нашел вам конкретный пункт.

Или вы хотите, чтобы я вам перевел пару обзацев на русский и сюда выложил?

Правила применяются по порядку сверху вниз. Все что не разрешено - запрещено по умолчанию. Все это четко указано в руководстве. Более того - это стандартная практика для серьезных файрволлов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пасибо! я знаю что в наше время всем трудно сказать что так и так делать!! ведь не всегда есть время переводить мануалы, по большей части все разбираюца по возможности!! а компании типа dlink срут на это и не могут сделать нормальным свой сервис и всё остальное!!


ПАсибо за помощь... получаеца Default_Rule блочит сама все входы и выходы кроме тех на которые есть уже правила на выход...

тогда ваще в голове каша.. нафга тогда по умолчанию дроп на smb_аll?)))

вот ты говоришь что надо запретить нет биос наружу!!
ну ты только что сам сказал что всё что не открыто то закрыто!! так зачем его закрывать если оно и так закрыто!!????

Если открывать выход наружу только определенному трафику, то в этом правиле нет нужды.

Оно полезно, когда далее следует правило, дающее полный выход наружу.

Вреда от него обычно нет, кроме случаев, когда надо выходить по NetBIOS в домовую сеть провайдера.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

пасиб.. за разборчивое обьяснение!!

терь понял понятно! )
тоесть при первой настройке идёт открытие всех портов
allow_standard натит!
а дроп кроет доступ.. если их уьрать то будет дро на всё! а отекрываем только нужное!!

Пасибо!

я вижу сами сотрудники dlink редкие гости на этом форуме )))

Кстати ни кто не пробывал тест на 2ip.ru на проверку файервола!??)
из всех правил у меня открыто только http_all 80,8080,443
и тест провален )) мол фаер гавно ))

интересно в чём косяк ))

Этот тестер файрволла подразумевает тест программного файрволла на компе, который не должен позволять какой-либо левой программе выйти в инет.

В вашем же случае определенные порты открыты на выход на аппаратном, независимом от компа, файрволле. И тут уж ничего не сделать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.