Добрый день, есть сервер подключен в DFL-800 в LAN порт.
Я хочу запретить ему полностью ходить в сеть, оставив лишь право подключатся к нему по RDP. Т.е. к DFL-800 будут подключатся по VPN, заходить по RDP на этот сервер, и работать. Нужно что бы с этого сервера нельзя была ни куда в сеть выходить, по расшаренным папкам, сетевому окружению..

Создаю два правила:


всё равно расшаренные папки в локальной сети открывает..
Подскажите как это сделать правильнее?

подключить в порт DMZ и нарисовать соответствующие правила

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

в дмз другие сервера уже подключены, и правила нарисованы...
мне нужно что бы этот сервер оставался в lan сети, но был фактически отрезан от сети. с парой разрешённых портов..

Т.е. вывести сервер в иную подсеть/иной физический сегмент (DMZ или WAN2 порт), чтобы гарантированно изолировать его от локальной сети на LAN. еще это можно сделать через VLAN-ы и управляемый коммутатор, тем самым увеличив кол-во независимых интерфейсов.

Есть еще некрасивый вариант - оставить сервер в сети LAN, но в другой подсети. В этом случае возможно взаимодействие с локальной сетью, если менять/добавлять IP адреса на сервере или клиентах локальной сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

с vlan красиво и безопасно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

yumarik, если вам нужно запретить доступ из др. подсетей к серверу, то можно создать правила: 1)разрешить доступ до сервера по определенному порту; 2) запретить доступ для всех служб по всем сеткам (dmz, wan1, wan2), указав ip-адрес сервера. В самой же LAN сети, сервер можно попробовать изолировать, закрыв все порты на сетевой карте сервера, кроме нужных.

порты wan1 wan2 dmz заняты.
Пожалуй действительно vlan единственное решение, которое мне подойдёт.
Но вот только проблема с настройкой vlan
Я создал ip для VLAN_1 192.168.0.100
Далее в интерфейсах создал VLAN указав ip = VLAN_1, сеть = all-nets
Теперь я прописываю на сервере шлюз VLAN_1
Меняю правила из первого поста LAN на VLAN.
И вуаля, не работают у меня правила, сервер как ходил в сеть так и ходит. Подскажите что я пропустил?

а у правляемый коммутатор есть ?
его настраивали ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

нет, управляемого коммутатора нет, server подключен в DFL-800 в порт LAN2

на 800 й модели не управляемый коммутатор на борту - поэтому он у вас так и будет там жить в вашей LAN_Net/
для реализации вашей схемы необходим управляемый коммутатор , как самый дешовый рариант это DIR 100 c соответствующей прошивкой управляемого коммутатора . или ищите любой другой управляемый коммутатор . настраивайте на нем ( коммутаторе) порт в TAG и дргой в том влане который вы создали на DFL и получите аксесный порт который вам необходим

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

можно оставить сервер в LAN, поставить в него сетевую карту с поддержкой VLAN. Связь между DFL и сервером будет через тегированный VLAN, находящийся в физическом сегменте LAN.

Так вы не обеспечите 100% безопасности, но заметно ее улучшите.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В общем купил 1210 Smart, включил сервер в первый порт, в настройках 1210 добавил vlan = lan2 c наcтройкой VID 10, сделал его Tagged порт VLAN.
Сохранил настройки. Подключил по второй порт DFL-800, и та же песня..

а с какой настройкой у вас Vlan на dfl ? тот же VID -10 ? и порт который должен смотреть в DFL - Tagged, а тот который смотрит в сервер должен быть Аксесный Vid -10 вот собственно и все - ни чего тут сложного

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

если не разберетесь - то выкладывайте скриншоты с DFL настройка Vlan , и с коммутатора скриншотик где и что настраивали

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

верхняя часть 1210
нижняя 800-ый