С наступившим новым годом, почтенное собрание, и с отгремевшими праздниками!

Просматривая логи DFL-260E наткнулся на то, что аппарат пропускает наружу не только пакеты из своей подсети, но и пакеты любых подсетей! В моем случае случилось следующее: на ноуте технари конторы выставили вместо 192.168.0.хзч что-то типа 192.168.199.ХЗЧ. И DFL-ка спокойно пропустила это наружу!!! Вопрос о том как технари смогли что-то поменять не поднимается - они за это получают свой хлеб, масло, икру, коньяк и все остальные блага этой жизни. Вопрос в том, КАК заставить DFL-260E пускать ТОЛЬКО с адресов 192.168.0.Х?

правила в студию !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Стандартные рули. Дописано только то, что нужно для работы.

<IPRule Name="ping_fw" Action="Allow" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/lan_ip" Service="ping-inbound" />
<IPRule Name="Http-BL" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="http-outbound" />

<IPRuleFolder Name="lan_to_wan">

<IPRule Name="drop_smb-all" Action="Drop" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="smb-all" LogEnabled="False" />
<IPRule Name="allow_ping-outbound" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="ping-outbound" LogEnabled="False" />
<IPRule Name="allow_ftp-passthrough_av" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="ftp-passthrough-av" />
<IPRule Name="allow_standard" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="all_tcpudp" />
<IPRule Name="GRE_Access" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan" DestinationNetwork="all-nets" Service="pptp-suite" />

<IPRuleFolder Name="DNS_Rules">
<IPRule Name="SAT_DNS_Reley_1" Action="SAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/lan_ip" Service="dns-all" SATTranslateToIP="InterfaceAddresses/wan_dns1" />
<IPRule Name="SAT_DNS_Reley_2" Action="SAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/lan_ip" Service="dns-all" SATTranslateToIP="InterfaceAddresses/wan_dns2" />
<IPRule Name="Allie_DNS_Relay_1" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/lan_ip" Service="dns-all" />

<IPRuleFolder Name="PPTP_Rules">
<IPRule Name="From_PPTP_Client" Action="Allow" SourceInterface="Clif_pptp_server" SourceNetwork="PPTP_Pool/PPTP_IP_Pool" DestinationInterface="lan" DestinationNetwork="InterfaceAddresses/lannet" Service="all_services" />
<IPRule Name="To_PPTP_Client" Action="Allow" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="Clif_pptp_server" DestinationNetwork="PPTP_Pool/PPTP_IP_Pool" Service="all_services" />

<IPRuleFolder Name="Port_Mapping">
<IPRule Name="SAT_DVR" Action="SAT" SourceInterface="any" SourceNetwork="all-nets" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/wan_ip" Service="DVR_Svc" SATTranslateToIP="InterfaceAddresses/Base_DVR" />
<IPRule Name="Allow_DVR" Action="Allow" SourceInterface="any" SourceNetwork="all-nets" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/wan_ip" Service="DVR_Svc" />

в правилах нет ни чнго про сеть не пренадлежащую lannet показывайте что сподвигло вас на это ?! утверждать что кто то через вас прошол .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вчера подошел к ноуту по просьбе народа:""Не печатает!" Посмотрел - ну да, и не будет. Потому-что сидят в другой подсети. Но перед тем как лезть в настройки сети, свернул открытую на весь экран файрфокс, в котором технари в онлайн смотрели правила настройки чего-то-там-им-нужного. В настройках сети были совсем левые адреса, но адреса DNS-ов были выставлены те, которые у меня раздаются сервером DHCP.

а может у этих технорей есть железо которое стоит в вашей сети и имет схожие настройки с ноутбуком ?!?!?
вы не допускали таккую возможность ?!

а DNS сервера - не показатель - могли и получить по DHCP от вас

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Они могли что угодно, это факт.... На тему собственного роутера с вафлей я не подумал.

прежде чем поднимать панику - надо понимать работу физической ЛВС- а вот дальше уже паниковать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я не паниковал, я поинтересовался как такое возможно. Контора у меня на обслуживании, и мне не хотелось-бы влететь с восстановлением данных из-за выкрутасов какого-нибудь ловчиды. Пусть даже собственного, конторского. Завтра сам попробую сменить IP-шник на тот который они там сами себе поставили и проверю подключение. Пока сомнения остались!

Я бы проголосовал за этот вариант. Тем более, что его могут сделать и обычные пользователи, не говоря уже о технарях.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM ситуация стандартная - например на интерфейсе приколочено два IP один пользовательский - второй для управления .

у меня половина такого оборудования тупо висит в другой подсети - и ни чем не светится кроме маков - но это для избранных найти .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

и наверное вифи висит в LAN- NET ?
при таком раскладе
легко влететь можно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Скорее всего. Поставили свое, чтобы подключать всякие свистелки-перделки. Их понять можно - им надо работать, а не париться с доступом куда-либо.



Попрошу у начальства второй канал. Технари = и наш хлеб до кучи. Так что гонять их там себе в убыток будет. Начальство охотно пойдет на разделение, чтобы обезопасить офис.

Ладно, на сегодня закрыли тему.