Извиняюсь за банальный вопрос, но видимо у меня кривые руки. Как сделать доступным извне фтп в ДМЗ? Читал фак, форумы, везде разные варианты настроек. Никакие не работают. Логичное мышление не помогает. Задача в общем не в этом. Просто даже это не получается сделать. Помогите плиз. Впервые с такой штукой общаюсь, чувствуется конкретная нехватка опыта.

компы из LAN отлично видят FTP. Правило allow между DMZ/DMZNET и LAN/LANNET. И инет на них есть.

Сам DFL получает инет по витой. Настройки статичные. Кстати и на серве и на компах настройки вписаны руками. DHCP отключен, хотя работает корректно, DNS relay тож пашет. Но никак не зайти извне на FTP.

Какие правила писать?

Как здесь, но для сервиса ftp-inbound

viewtopic.php?t=64076&start=1

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Так?

rule1 SAT wan all-nets core wan_ip ftp-inbound
rule2 Allow wan all-nets core wan_ip ftp-inbound

Эти правила первыми стоят в списке. В командной строке при попытке подключения по фтп на wan_ip пишется, что подключение разорванно удаленным узлом. Подключаюсь с другого компа в локальной сети (извне по отношению к wan). В логах сервах ничего нет. С админки dfl серв пингуется. Из лан сегмента к нему доступ есть. Кста правила для простоты понимания такие :

allow_lan_dmz Allow lan lannet dmz dmznet all_tcpudpicmp
allow_dmz_lan Allow dmz dmznet lan lannet all_tcpudpicmp

попробуйте сделать второе правило NAT

Тип подключния к инету?

телнетом цепляется или нет?

попробуйте пробросить другой сервис. rdp или еще что

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Инет - локальная сеть. Настройки статические. Щас сделаю второе правило и посмотрю все. По ходу вопрос есть. Я правильно понимаю вообще принципы?

Если правило явно не разрешено, пакет отбрасывается.
Allow - разрешающее правило.
Nat - разрешающее правило с трансляцией адресов.
Sat - разрешающее правило со статическим перенаправлением.

Т.е.:
Еси пишем Allow Wan/WanNet - DMZ/DMZNet all_icmp эт значит что разрешаем пинги между wan интерфейсов и dmz интерфейсом.

Если пишем Nat Lan/LanNet - Wan/WanNet ftp_... эт значит что разрешаем ftp между lan интерфейсом и wan

Если пишем Sat Wan/AllNet - Core/Wan_ip .... 'т значит при обращении из вне на wan перенаправляем на ....

В правилах DMZ/WAN исп ток ALLOW и Sat
В правилах LAN/WAN исп NAT и Sat, если на лане есть сервак.

Правила двунаправленные. Т.е. если разрешаем что-то с ван на лан, то и с лан на ван это будет разрешено. 2 правило направленное обратно писать не нужно.

Верно?

Фактически SAT - это тоже NAT, только destination NAT.

Вы если хотите сделать LAN -> WAN доступ, делаете NAT. Если WAN -> LAN - SAT+Allow или SAT+NAT (это называется порт маппинг).

NAT, Allow - stateful правила, поэтому обратный трафик будет пропущен автоматически.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да

Нет. Это только подмена адреса. Разрешающие правила Allow, NAT, FwdFast

В общем, да. Не между интерфейсами, а между их сетями.

да

Обычно проброс портов делается парой правил SAT-Allow.

SAT-NAT это случаи ошибочной или особой маршрутизации, а также NAT LoopBack.

Не так. В рамках установленного соединения трафик пойдет прямой и обратный. При попытке же установления соединеия в обратном направлении, будет получен отказ, т.к. не будет явного разрешающего правила.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо YuriAM)

Включил dfl, перепрошил, ввел правила - не пашет. Сбросил, ввел, не пашет и так неск раз подряд, пока в очередной раз все не заработало :/

Ну а теперь сама задача. Как поднять защищеный канал между удаленным хостом и сервером в ДМЗ. При этом закрыть все остальные варианты попадания до него?

Удаленный хост - у вас это что?

Настраивайте IPsec, L2TP over IPsec - по соответствующим FAQ.
Весь остальной доступ - не будет разрешающих правил, не будет и доступа.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc