Имеется DSL 2500U работающий как PPPOE маршрутизатор с включенными NAT и фаерволом, с адресом 192.168.0.1
На компьютере с адресом 192.168.0.3 настроен ssh сервер на 22 порту.
На маршрутизаторе настраиваем виртуальный сервер, при общении из интернета ssh доступен.

Далее нужно ограничить доступ к этому ssh по ip адресу.
Security -> IP Filtering -> Incoming
Создаем правило для 22 порта для source адресов в интернете и destination адреса 192.168.0.3 для TCP. (Также пробовал и "Any"- любой протокол)
Но ssh по прежнему доступен с любого адреса в интернете.
Также пробовал и ftp на 21 порту.
Модем перезагружал.

Что здесь не так и можно ли вообще ограничить доступ к виртуальному серверу за NAT-ом по IP адресам средствами данного маршрутизатора?

Укажите версию прошивки Вашего маршрутизатора.

При соединении PPPoE в Incoming-фильтре в пакетах:
Source IP Range - WAN IP-адрес источника,
Source Port - порт, открытый на WAN-стороне источника (если "на той стороне" - роутер, то приложению-источнику этот порт вообще может быть неизвестен),
Destination IP Range - ваш WAN-IP,
Destination Port - порт на WAN-стороне вашего роутера (этот порт был указан источником, и соответствует для данной сессии порту, открытому на LAN-стороне роутера у источника).

Использование PortForwarding приводит к тому, что пакеты, приходящие на указанные ExternalPort(s) - не фильтруются, а пересылаются на указанные Internal-IP:Port(s).

Так что...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Software Version: RU_1.50

т.е. указывать destination адрес 192.168.0.3 неправильно, нужно внешний? а если он динамический?

или настройки фаервола никак с настройками виртуального сервервера не связаны? ведь работает виртуальный сервер когда никаких правил для трафика нет а ведь написано что по умолчанию весь входящий блокируется

Ладно, будем пускать пакеты только по источнику:
Protocol: Any
Select IP Range by: IP address
Source IP address: 38.38.38.38 (для примера)
Остальные поля не заполнены.

все, правило создается, но все равно ничего не фильтрует. Видимо если уж виртуальный сервер есть, то фаером его не заблокировать.

зачем вообще файрволлить? на самом ssh-сервере виден тот же самый source ip, там можно и фильтровать

О чем я и пытался сказать

ТС просто не желает гонять лишний трафик между сервером и роутером (что, по идее, правильно), вот и ищем путей решения...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

1) лишний трафик будет только если злые хакеры syn-flood запустят
2) на dsl (возможно, платном и более узком, чем lan) этот трафик будет присутствовать по-любому

Стойте, люди, вы о чем-то не о том! Трафик между роутером и сервером не важен, он небольшой, если, действительно, сервер не ломают и не зафлуживают =)

Действительно, фильтровать можно на самом сервере.

Я просто хочу, чтобы те, кто пытается извне подключиться к ssh (ftp и др) получали отлуп уже на уровне роутера, а не на самом сервере!
Дополнительня защита, так сказать.
A фаервол на роутере не фаерволит пока-что. Вообще не очень удобно то, что настройки форвардинга разнесены на "виртуальный сервер" где нельзя указать source параметров и собственно фаервол, который видимо живет сам по себе.

Взял потестить Acorp sprinter 120, там в Port Forvarding указывается все сразу (правда там своя заморока, нельзя указать диапазон внешних IP, только один на правило, ну это другой вопрос, да и прошивка несвежая, может исправили)
Попробую кстати на 2500U прошивку поменять до 1.54, может там что-то по другому

Ага, кажется нашел еще вариант
http://www.dlink.ru/ru/faq/156/141.html
Пример 6
"Виртуальный сервер" на маршрутизаторе настраивать не надо, только правило для фаервола, и надо на source компе прописать маршрут
Щас попробуем...
Хотя это не совсем выход, что если адресов, с которых нужно разрешить доступ, 50 штук? на каждом компе маршрут прописывать?
можно, но должно быть проще

Нет, не получится, я уже с этим экспериментировал.
Вам в любом случае нужен NAT и VirtualServers, а тогда файрволл не работает. Если же не использовать PortForwarding - то пакеты не дойдут со сервера.

В-общем, Acorp x2x(i) (LAN122/422,W422) - намного более универсален...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ