1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июн 23, 2025 10:09

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
AD.Drakon
 Заголовок сообщения: Не обрабатывается правило на DFL-800
СообщениеДобавлено: Пт апр 01, 2011 05:38 
Не в сети

Зарегистрирован: Вт сен 21, 2010 05:22
Сообщений: 14
У меня вопрос.
Я создал правило Drop_all и отключил на нем журналирование.

Изображение

Но, лог показывает, что Default_Access_Rule "принимает весь удар на себя"

Изображение

С чем это может быть связано? ведь правило Deny_all находится в самом низу...
Вернуться наверх
 Профиль  
 
AD.Drakon
СообщениеДобавлено: Пт апр 01, 2011 09:22 
Не в сети

Зарегистрирован: Вт сен 21, 2010 05:22
Сообщений: 14
up
Вернуться наверх
 Профиль  
 
Dima G.
СообщениеДобавлено: Пт апр 01, 2011 09:53 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Сначала на себя "принимают удар" правила Access, которые анализируют источник и интерфейс пакета. Собственно, и ругань в журнале на этот счет. А ругань, потому что на каком-то интерфейсе приходят пакеты, которые в соответствие с вашими правилами маршрутизации на данном интерфейсе не должны быть. Допустим, у вас прописано, что lannet находится исключительно в lan. И вдруг со стороны wan приходит пакет с адресом из диапазона lannet. В этом случае сработает правило Access вне заивисмости от правила IP Rules.
Решение - либо прописать Access, либо посмотреть, что там с маршрутами.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
AD.Drakon
СообщениеДобавлено: Пт апр 01, 2011 10:31 
Не в сети

Зарегистрирован: Вт сен 21, 2010 05:22
Сообщений: 14
Так в том то и дело, что прилетают запросы на wan1 порт с сети, которая весит на wan1.

вот маршрутизация

Изображение

у меня на wan1 локальная сеть оператора, на Televox_PPPoE выход в инет
Вернуться наверх
 Профиль  
 
AD.Drakon
СообщениеДобавлено: Пт апр 01, 2011 10:39 
Не в сети

Зарегистрирован: Вт сен 21, 2010 05:22
Сообщений: 14
да и правило у меня запрещает все отовсюду
Вернуться наверх
 Профиль  
 
Dima G.
СообщениеДобавлено: Пт апр 01, 2011 11:23 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Если на wan1 локальная сеть оператора, то нафига прописан маршрут 0.0.0.0/0 на этот интерфейс?
И еще, в таблице main у вас скорее всего два маршрута до 0.0.0.0/0. Но если метрика до PPPoE меньше, чем у WAN1, то при приходе инетного пакета из WAN1, сработает правило Access. Чтобы не было логов, надо прописать правило Access такого содержания (логгирования у этого правила выключить):

Action: Drop
Interface: wan1
Network: all-nets

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Сб апр 02, 2011 09:54 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если вам надо избавиться от default access rule в логах, то просто добавьте exception 60 (rule) c ID * или 51 в System > Log and event receivers > MemLog > Message exceptions.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
AD.Drakon
СообщениеДобавлено: Чт июн 02, 2011 06:43 
Не в сети

Зарегистрирован: Вт сен 21, 2010 05:22
Сообщений: 14
danilovav писал(а):
Если вам надо избавиться от default access rule в логах, то просто добавьте exception 60 (rule) c ID * или 51 в System > Log and event receivers > MemLog > Message exceptions.

Я хотел избавиться от причины, а не от самих логов

Dima G. писал(а):
Если на wan1 локальная сеть оператора, то нафига прописан маршрут 0.0.0.0/0 на этот интерфейс?
И еще, в таблице main у вас скорее всего два маршрута до 0.0.0.0/0. Но если метрика до PPPoE меньше, чем у WAN1, то при приходе инетного пакета из WAN1, сработает правило Access. Чтобы не было логов, надо прописать правило Access такого содержания (логгирования у этого правила выключить):

Action: Drop
Interface: wan1
Network: all-nets

Спасибо, логику я понял. Запретил в Access все лишнее и все стало хорошо )


ЗЫ тему можно закрыть
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 293

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB