Доброго времени суток. У меня есть некоторые вопросы на счет настройки Firewall в данном модеме.

У меня есть два PPPoE соединения. Одно (оно же gateway) с доступом во всемирный интернет. Второе - с доступом во внутренние ресурсы провайдера, на это соединение прописаны статические роуты на нужные диапазоны IP в модеме. С этим проблем нет.

Что я хочу сделать.
В модем так же подключена сеть. Мне нужно дать всей сети доступ во внутренние ресурсы провайдера, а избранным IP так же дать доступ и в интернет.
Читал руководство, но не нашел нужного (либо не понял, что это - то, что мне надо). Экспериментировал с фильтрами OUTBOUND и INBOUND, но, к сожалению, безуспешно.
Такое вообще реально реализовать в данном модеме?

Прошивка: RU_DSL-2640U_3-06-04-3H00.A2pB023g2.d19b

Заранее спасибо за внимание.

Не получится
реализовать данный вид контроля за счет модема не получится

Точно? Просто там есть нужные фильтры, но они не работают (если верить предложению "By default, all incoming IP traffic from WAN is blocked when the firewall is enabled, but some IP traffic can be ACCEPTED by setting up filters" в веб-морде модема). Я нашел это в Advanced -> IP Filter -> Inbound

Я включаю Firewall на двух соединениях, и ничего. Трафик идет с них как и раньше, вместо того, чтобы по умолчанию блокироваться. Баг в прошивке?

то что ты описал это входящий трафик

а тебе нужно контролировать исходящий с указанием подсетей кому и куда можно с какого порта
вот как раз этих настроек я в модеме не видел

Ну, если вы смените в настройках LAN режим работы на "Blocking mode"...
И фильтры надо настраивать в "Outbound", поскольку "Inbound" - это фильтрация входящего трафика.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Ага... идея кажется понятна. Сегодня поэкспериментирую.

Но суть в том, что фаервол должен блокировать весь трафик из WAN соединений (то бишь мои PPPoE), если верить приведенной выше цитате (По-умолчанию, весь входящий трафик ИЗ WAN блокируется, если включен фаервол, но некоторый трафик может быть ПРОПУЩЕН настройками данных фильтров).
В Inbound есть настройка по каждому WAN соединению, а так же есть возможность выбора портов для пропуска, диапазонов IP в интернете для пропуска, и диапазоны IP, куда пропускать трафик. Этих фильтров мне вполне хватит для реализации моих нужд. Но встает вопрос: как же сделать, чтобы при включении Firewall блокировался ВЕСЬ трафик из WAN?
Или я думаю не в том направлении?

Вы действительно думаете не в том направлении

По умолчанию:
- весь трафик WAN->LAN блокируется (естественно, за исключением пакетов, приходящих в ответ на инициированные вашим WAN (то есть вашими локальными хостами за NAT) сессии)
- весь трафик LAN->WAN разрешен (то есть любой локальный хост может инициировать сессию с хостом в интернете)

Плюс при включенном файерволле на указанном соединении ещё:
- "Inbound Filter" позволяет дополнительно разрешить определенный трафик WAN->LAN (например, с хоста 95.95.95.95)
- "Outbound Filter" позволяет запретить определенный трафик LAN->WAN (например, хосты .11,.18 и/или порты 25,110)

Если сменить режим работы файерволла на LAN со "Standard" на "Blocking", то поменяется только политика для LAN-стороны:
- весь трафик LAN->WAN запрещен
- "Outbound Filter" позволяет разрешить определенный трафик LAN->WAN (например, выход хостов .1-.11)

И ещё.
Для "Inbound Filter" Source означает WAN-адрес хоста "снаружи" и/или порт, инициировавший сессию; Destination - ваш/не ваш WAN IP и/или порт, на который пакет направлен.
Для "Outbound Filter" Source означает адрес вашего локального хоста и порт на вашем хосте, инициировавший сессию; Destination - адрес хоста "снаружи" и порт, на который направлен пакет вашим хостом.
Таким образом, можно, например, ограничить syn-flood, указав в "Inbound" DestIP=WAN IP (при StaticIP WAN); или при организации удаленного доступа задать диапазон внешней подсети, из которой осуществляется управление. Также, например, для "Outbound" (при Standard mode) можно задать DPT=25,110 для определенных локальных хостов - и эти хосты не смогут работать по smtp/pop3.
Также, SourcePort и там и там особого смысла задавать не имеет.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

AndreTM, понятно, спасибо за разъяснения.
Поставил я LAN в Blocking Mode, но трафик LAN -> WAN проходит как и раньше... Очень странно. Нет ли каких-нибудь параметров, которые могут пропускать трафик, несмотря на Блок мод?

На WAN NAT и Firewall проверили еще раз, чтобы были включены?
Модем перезагрузили после смены режима?
Какой именно трафик LAN->WAN проходит?

Да, еще. На старых модемах U-серии самой работоспособной, ИМХО, была прошивка 3B00.

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

Включены


Само собой


Работает интернет, или это не то?


Предлагаете перешить?

UP

Маловероятно, но проблема может быть... В асю...

_________________
(tm) DWL-2100AP*, DIR-3xx/6xx*, DSL-2xx0*, ANT24-xxxx* | РТ

В общем, проблему решил ручным написанием правил iptables. Пришлось ради этого учить iptables'ы, благо он понятен и легко запоминается.