Появится ли в ближайших прошивках для серии DFL возможность объединять DNS-имена в группы? Хорошо, конечно, что сейчас есть вообще возможность загонять в адресбук не только IP, но без возможности группирования иногда не очень удобно.
Настраивал, вот, фаервол так, чтобы все запросы по "почтовым" портам могли бы выходить наружу только к строго определённым почтовым серверам: пришлось создавать 6(!) правил (по разрешающему правилу для каждого сервера + одно запрещающее ниже их) вместо 2.

Да причем тут группировка, если в правилах даже одиночное DNS-имя не получится использовать?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Как не получится ? А у меня тогда что:





Почта, вроде, получается и отправляется, но почему-то в логах пусто, хотя, галка "логировать" установлена.

UPD: Чёрт, точно не работает эта конструкция: установил в последнем запрещающем правиле в качестве интерфейса назначения wan вместо первоначально установленного core и всё... приплыли: все почтовые запросы блокируются.
Представители D-Link, как-то будет решаться эта неполноценность работы девайса?

Это не баг, это фича Поэтому говорить о неполноценности некорректно.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Больше тянет на недоделку, а не на фичу. Какой смысл тогда разрешать заносить dns-имена в адресбук, но при этом не давать возможности использовать их в правилах, точнее, в правилах их, вроде как, использовать можно, но созданные на основе dns-адресов правила не функциклируют.

Смысл в возможности использования этих объектов в туннелях (в полях Endpoint), в NTP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Ну так и оставили бы для этих случаев только ручной "текстовый" метод ввода и не вводили бы людей в заблуждение .
Кстати, так и не понял почему запрещающее правило срабатывает только при указании интерфейса назначения как wan, а при core преспокойно пропускает указанный в правиле сервис?

Правила LAN->WAN требуют WAN, а не CORE именно потому что назначение коннекта находится дальше CORE, за WAN.

А по поводу "недоделок" - так все правильно. Использование DNS имен в IP правилах, при маршрутизации - просто опасно. Поснифав немного трафик и выяснив ваши DNS, а также имея представление о ваших правилах, можно как минимум открыть "запрещенные" сайты, а вообще - простор эксплуатации подобной уязвимости зависит только от воображения "администратора" и мозговитости заинтересованного человека.

А вообще, коли у вас жесткие разрешения и потом drop, последнего можно и опустить. Это вам не iptables, там внизу правило по умолчанию есть - и так реализует принцип "запрещено все, что не разрешено".

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А разве трафик в данном случае не проходит через ядро? Я думал, что весь трафик через core сначала проходит, а уже затем на интерфейс назначения направляется.

Как-то странно получается: для NTP можно, а в правилах нельзя.

В том-то и дело, что в данном случае из-за невозможности использовать dns-имена я не могу установить жёсткие ограничения на почтовый трафик (на какие сервера ему можно ходить) - это во-первых. Во-вторых, где там такое правило"запрещено все, что не разрешено"? Как минимум, HTTP и почтовые запросы правилами по умолчанию пропускаются на ура без дополнительных разрешений.

Любой маршрутизатор оперирует понятиями source и destination, поэтому в правилах вам надо придеживаться этого. Если вы захотите запретить трафик до DFL, то тут вам поможет core. А если проходящий трафик - то никаких core, а определенные интерфейсы.

NTP - синхронизация времени, к правилам имеет лишь очень опосредованное отношение. Также DNS используются в remote endpoint туннетей IPsec, PPTP и L2TP, как хост для LDAP серверов и в SMTP log receiver. Все эти места применения не могут обходиться без DNS имен, в то время как в правилах их использование лишь навредит.

И кстати, ваш пример с запретом хождения почты на определенные сервера - будет работать только в узкой конфигурации. Ну не будете же вы отслеживать все постоянные изменения IP адресов "разрешенных" серверов, а также все их МХ и их альтернативы (которые, кстати, обычный пинг не выявит).

По поводу правила - оно четко написано на странице 102 мануала (2.25.01)

Думаю, это же написано и в инструкции любого другого аналогичного устройства, ибо по другому настраивать маршрутизатор, а тем более файрвол, бессмысленно.
По умолчанию у вас все работает только потому, что создана группа правил lan_to_wan, в которой в частности есть общее правило NAT lan/lannet->wan/all-nets all_services.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Безопасность это конечно хорошо, но мне кажется, было бы неплохо, чтобы у конечного пользователя было право выбора: хочется мегасекьюрности - не используй dns-имена в правилах, если хочется более гибкой и удобной настройки под конкретные нужды, но с некоторым понижением общей безопасности - ради бога, но производитель предупреждает...

Так я, вроде, про это и говорил в своём предыдущем посте. Из-за невозможности использовать dns-имена, я не могу теперь строго указать конечный пункт для почтового трафика, т.к., ИМХО, нереально отследить все IP-адреса, используемые при обращении, допустим, к pop.gmail.com: сейчас - один, через час - другой и т.д. В итоге все правила для почты из вышеприведённых скриншотов пришлось отключить из-за их бесполезности.

Верно, но ведь правило это создано не мной лично, оно предустановлено производителем, который, вроде как, о безопасности заботится. Не позволяет использовать dns-имена в правилах, но в тоже самое время, по умолчанию пропускает почти абсолютно весь трафик из LAN в WAN - а как же безопасность? Как-то, на мой взгляд, не очень секьюрно и непоследовательно получается.

Давайте не будем разводить холиваров на пустом месте. Я не производитель и меня нивчем убеждать не надо.

Использование DNS в правилах было бы удобно, но можно обойтись и без него.

Касательно вашего примера с отправкой электронной почты - поинтересуйтесь как она работает. Далеко не всегда домену (веб-серверу) соответствует адрес почтовой машины. Иногда даже имена не совпадают. И за примером далеко не надо ходить - мой же домен raresoftware.ru имеет запись A (адрес сайта) 81.176.226.188, а почтовая машина - mail-s30.1gb.ru (81.176.226.52). Как видите, связи никакой. Если хотите ограничивать своих пользователей в отправке почты, заводите локальный SMTP сервер и рулите правилами на нем.

Касательно правил NAT lan->wan - они разрешают доступ изнутри во внешнюю сеть и только. NAT сам по себе - уже большой плюс к безопасности. Поэтому - это вполне приемлемо и отвечает как минимум половине конфигураций.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да какие холивары , это ж вы пытались меня убедить, что DNS не нужен. Вопрос то был не в том, нужен он или нет, а в том собирается ли D-Link прикрутить к серии DFL его поддержу в будущих прошивках. Лично мне эта функция бы не помешала, у устройства ещё повысилась бы гибкость настройки, а использовать или нет данный функционал каждый бы решал сам для себя, сообразно своим потребностям.
Кстати, представители славной компании D-Link, вы так и не ответили на данный вопрос, который, собственно, вам и предназначался. Вопрос конкретный и простой (по-моему). Ещё раз, специально для сотрудников российского отделения D-Link. Будет ли в будущих прошивках для серии DFL реализована полноценная поддержка использования DNS-имён в правилах так же, как и для IP? Ответьте пожалуйста.