1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 19:29

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
dsi_1
СообщениеДобавлено: Вт янв 11, 2011 16:37 
Не в сети

Зарегистрирован: Сб дек 18, 2010 15:02
Сообщений: 14
нужно определенному IP из внутренней сетки сделать разрешающее правило на dns имя pop.masterhost.ru

Как можно сделать? Если делаю объект Ip address и там указываю dns: pop.masterhost.ru - то конфигурация не применяется, пишет что объект не мог разрешить Ip адресс. С чем связано - непонятно. Нужно core разрешить выход на IP address DNS?
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср янв 12, 2011 01:49 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Нельзя сделать как вы хотите.
Доменные имена возможны лишь на L7 через ALG для HTTP.
В иных случаях используйте DNS-адреса.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
dsi_1
СообщениеДобавлено: Ср янв 12, 2011 07:48 
Не в сети

Зарегистрирован: Сб дек 18, 2010 15:02
Сообщений: 14
просто не пойму как сделать правила правильно
запретить всё для определенных компов с 192.168.20.10-192.168.20.20( с эти вроде всё просто, разрешил всё для другого пула, по умолчанию для этого пула всё запрещено)
Сделать правило разрешающее для этого пула на pop.masterhost.ru и на сервера icq.

Ведь в правиле можно задать только пул, а не днс имя к сожалению.
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср янв 12, 2011 11:48 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Делаете объект "пула" - lan_pool = 192.168.20.10-192.168.20.20

http://network-tools.com/default.asp?pr ... terhost.ru - видим что для pop.masterhost.ru соответствует один адрес 83.222.26.36
Делаете из него объект (например ext_pop_masterhost_ru) и на основании его правило NAT lan/lan_pool wan/ext_pop_masterhost_ru pop3
Вместо pop3 можете поставить all_services/all_tcpudpicmp чтобы разрешить все сервисы или сделать и использовать группу разрешенных сервисов (ex, pop3 + smtp + imap)

С ICQ аналогично, но там как вариант можно сдеалть сервис icq и на основании его правило NAT lan/lan_pool wan/all-nets icq

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
dsi_1
СообщениеДобавлено: Ср янв 12, 2011 14:46 
Не в сети

Зарегистрирован: Сб дек 18, 2010 15:02
Сообщений: 14
да с объектами типа ip 83.222.26.36 всё прост делается. а вот сменится завтра ip и будет засада.
Как понял нормального решения нет.
Вернуться наверх
 Профиль  
 
cag
СообщениеДобавлено: Ср янв 12, 2011 14:51 
Не в сети

Зарегистрирован: Чт ноя 06, 2008 14:13
Сообщений: 25
А можно ли в объект IP-адрес прописать два разных IP а не диапазон или сеть?
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср янв 12, 2011 16:18 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Можно сделать группу из адресов
Если делать из консоли, то можно туда включать адреса (не объекты)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
mikas-khb
СообщениеДобавлено: Чт янв 13, 2011 07:04 
Не в сети

Зарегистрирован: Пн июл 06, 2009 08:11
Сообщений: 45
Я в одном из мануалов заметил, что для прописывания NTP сервера применяется DNS имя.
и задан этот обект так: dns:pool.ntp.org
с NTP рабоатет а вот в Firewall Rules нет :-(
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пт янв 14, 2011 07:12 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Именно. FQDN (имя) можно использовать в NTP, PPP/IPsec/GRE в качестве endpoint, возможно еще в mail-логгере.
Использовать имена в правилах файрвола нельзя т.к. DNS запрос может быть скомпрометирован.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 596

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB