faq обучение настройка
Текущее время: Вс июл 27, 2025 07:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DFL-210 и FTP
СообщениеДобавлено: Чт фев 18, 2010 16:28 
Не в сети

Зарегистрирован: Чт фев 18, 2010 16:15
Сообщений: 14
Извиняюсь за банальный вопрос, но видимо у меня кривые руки. Как сделать доступным извне фтп в ДМЗ? Читал фак, форумы, везде разные варианты настроек. Никакие не работают. Логичное мышление не помогает. Задача в общем не в этом. Просто даже это не получается сделать. Помогите плиз. Впервые с такой штукой общаюсь, чувствуется конкретная нехватка опыта.

компы из LAN отлично видят FTP. Правило allow между DMZ/DMZNET и LAN/LANNET. И инет на них есть.

Сам DFL получает инет по витой. Настройки статичные. Кстати и на серве и на компах настройки вписаны руками. DHCP отключен, хотя работает корректно, DNS relay тож пашет. Но никак не зайти извне на FTP.

Какие правила писать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 16:54 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Как здесь, но для сервиса ftp-inbound

viewtopic.php?t=64076&start=1

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 17:38 
Не в сети

Зарегистрирован: Чт фев 18, 2010 16:15
Сообщений: 14
Так?

rule1 SAT wan all-nets core wan_ip ftp-inbound
rule2 Allow wan all-nets core wan_ip ftp-inbound

Эти правила первыми стоят в списке. В командной строке при попытке подключения по фтп на wan_ip пишется, что подключение разорванно удаленным узлом. Подключаюсь с другого компа в локальной сети (извне по отношению к wan). В логах сервах ничего нет. С админки dfl серв пингуется. Из лан сегмента к нему доступ есть. Кста правила для простоты понимания такие :

allow_lan_dmz Allow lan lannet dmz dmznet all_tcpudpicmp
allow_dmz_lan Allow dmz dmznet lan lannet all_tcpudpicmp


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 18:05 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
попробуйте сделать второе правило NAT

Тип подключния к инету?

телнетом цепляется или нет?

попробуйте пробросить другой сервис. rdp или еще что

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 18:58 
Не в сети

Зарегистрирован: Чт фев 18, 2010 16:15
Сообщений: 14
Инет - локальная сеть. Настройки статические. Щас сделаю второе правило и посмотрю все. По ходу вопрос есть. Я правильно понимаю вообще принципы?

Если правило явно не разрешено, пакет отбрасывается.
Allow - разрешающее правило.
Nat - разрешающее правило с трансляцией адресов.
Sat - разрешающее правило со статическим перенаправлением.

Т.е.:
Еси пишем Allow Wan/WanNet - DMZ/DMZNet all_icmp эт значит что разрешаем пинги между wan интерфейсов и dmz интерфейсом.

Если пишем Nat Lan/LanNet - Wan/WanNet ftp_... эт значит что разрешаем ftp между lan интерфейсом и wan

Если пишем Sat Wan/AllNet - Core/Wan_ip .... 'т значит при обращении из вне на wan перенаправляем на ....

В правилах DMZ/WAN исп ток ALLOW и Sat
В правилах LAN/WAN исп NAT и Sat, если на лане есть сервак.

Правила двунаправленные. Т.е. если разрешаем что-то с ван на лан, то и с лан на ван это будет разрешено. 2 правило направленное обратно писать не нужно.

Верно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 19:13 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Фактически SAT - это тоже NAT, только destination NAT.

Вы если хотите сделать LAN -> WAN доступ, делаете NAT. Если WAN -> LAN - SAT+Allow или SAT+NAT (это называется порт маппинг).

NAT, Allow - stateful правила, поэтому обратный трафик будет пропущен автоматически.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 19:38 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Dmitry_ISL писал(а):
Если правило явно не разрешено, пакет отбрасывается.
Allow - разрешающее правило.
Nat - разрешающее правило с трансляцией адресов.
Да

Dmitry_ISL писал(а):
Sat - разрешающее правило со статическим перенаправлением.
Нет. Это только подмена адреса. Разрешающие правила Allow, NAT, FwdFast

Dmitry_ISL писал(а):
Т.е.:
Еси пишем Allow Wan/WanNet - DMZ/DMZNet all_icmp эт значит что разрешаем пинги между wan интерфейсов и dmz интерфейсом.

Если пишем Nat Lan/LanNet - Wan/WanNet ftp_... эт значит что разрешаем ftp между lan интерфейсом и wan
В общем, да. Не между интерфейсами, а между их сетями.

Dmitry_ISL писал(а):
Если пишем Sat Wan/AllNet - Core/Wan_ip .... 'т значит при обращении из вне на wan перенаправляем на ....
да

Dmitry_ISL писал(а):
В правилах DMZ/WAN исп ток ALLOW и Sat
В правилах LAN/WAN исп NAT и Sat, если на лане есть сервак.
Обычно проброс портов делается парой правил SAT-Allow.

SAT-NAT это случаи ошибочной или особой маршрутизации, а также NAT LoopBack.

Dmitry_ISL писал(а):
Правила двунаправленные. Т.е. если разрешаем что-то с ван на лан, то и с лан на ван это будет разрешено. 2 правило направленное обратно писать не нужно.
Не так. В рамках установленного соединения трафик пойдет прямой и обратный. При попытке же установления соединеия в обратном направлении, будет получен отказ, т.к. не будет явного разрешающего правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 21:15 
Не в сети

Зарегистрирован: Чт фев 18, 2010 16:15
Сообщений: 14
Спасибо YuriAM)

Включил dfl, перепрошил, ввел правила - не пашет. Сбросил, ввел, не пашет и так неск раз подряд, пока в очередной раз все не заработало :/


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 22:45 
Не в сети

Зарегистрирован: Чт фев 18, 2010 16:15
Сообщений: 14
Ну а теперь сама задача. Как поднять защищеный канал между удаленным хостом и сервером в ДМЗ. При этом закрыть все остальные варианты попадания до него?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 23:12 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Удаленный хост - у вас это что?

Настраивайте IPsec, L2TP over IPsec - по соответствующим FAQ.
Весь остальной доступ - не будет разрешающих правил, не будет и доступа.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 239


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB