Доброго времени суток, форумчане!

Давеча приняли решение модернизировать, если можно так выразиться, сетевую инфраструктуру в небольшом офисе. Соответственно был взят из запасников DFL 210. С ходу с данной железкой возникли странного рода проблемы, выражающиеся в непрохождении пакетов между интерфейсами LAN и DMZ; WAN и DMZ.

Настраивалось это дело, за неимением мануала, по стандартной инструкции и опыту общения с Cisco. А именно.

1. Таблица роутинга оставлена была по умолчанию. Четыре маршрута - три привязки сетей по интерфейсам, плюс "выход в мир" c WAN интерфейса.
2. В Правила IP были добавлены полиси на хождение all_icmptcpudp между всеми тремя интерфейсами. Просто в интересах тестирования.
2.1 Core также был открыт на ping_inbound.

В результате. Попасть из LAN в WAN, по полиси установленной по умолчанию - запросто. Сама железка по всем интерфейсам также откликается. Однако хождения траффика между DMZ и двумя другими интерфейсами - ни в какую. Может быть что-то упустил, не знаю, прежде с такими железками иметь дело не приходилось. Что можно сделать в данной ситуации? Есть ли какой-нибудь "универсальный" мануал, из которого можно почерпнуть логику работы данного устройства? Потому что вполне возможно, что всё затыкается на каких не очевидных для неофита настройках.

Заранее благодарен.

Создать правила, разрешаюшие нужный трафик. Правила по умолчанию разрешают только LAN -> WAN.



NetDefend OS Firewall User Manual относится ко всему семейству DFL. Есть русский перевод, см. в прикрепленной теме в начале форума: http://forum.dlink.ru/viewtopic.php?f=3&t=147902

UPD.

Попробовали прописать в IP правила NAT LAN->DMZ; NAT DMZ->WAN; Что-то зашевелилось немного, по крайней мере пинг прошёл. С Allow данные правила не работали. То есть Allow LAN->DMZ; Allow DMZ->WAN.

После этого обнаружилась проблема с SAT(http) LAN/lannet WAN/all_net sat Proxy_ip:3128. Такая конструкция удобоварима для переброски всех запросов по http адресованных вовне на проксю, сидящую в dmz? Почему-то достучаться до прокси она не позволяет.


ЗЫ Насколько я понимаю, DFL не умеет безболезненно перекладывать трафик между своими интерфейсами, приписанными к разным сетям. Ей обязательно требуется NAT. Подозреваю, что у прокси непонимание возникает именно на этой почве.

все он умеет !
у меня на одном DFL живут 4 интерфейса + еще 3 шпсека +2 PPtp туннеля .
все бродит прозрачно с единой адресацией 10.10.0.0\16.

поэтому ПОКАЗЫВА!ТЕ СКРИНЫ ЧТО НАСТРОИЛИ .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

C Allow у народа обычно проблемы не по вине DFL, а из-за файрволлов/антивирусов. Например, Касперский в дефолтных настройках рубит всё, что приходит не из непосредственно подключенной подсети. Также необходимо правильно устанавливать шлюз по умолчанию и маску на компьютерах .


Будет работать, если поставить галку трансляции всего в один IP (внизу вкладки SAT). И не забудьте про такое же правило Allow (в принципе можно и NAT, но для прокси неприемлемо -- все запросы будут видны как от DFL). Allow должно быть ниже SAT!

Схема подключения:
lan_net
(lan: 192.168.1.xxx)
| lan
|------------------------ |
| (192.168.1.1) LAN |
| DFL-210 |
| (192.168.10.1) DMZ | ----|PROXY (192.168.10.52/ 255.255.255.0/ 192.168.10.1/ DNS-провайдера)|
| (176.120.1.85) WAN | ----| ПРОВАЙДЕР СТАТИКА |
|------------------------ |

На DFL прописано:
NAT lan/сервер(192.168.10.52) wan/all-nets http
SAT lal lannet wan all-nets http (SAT -> сервер(192.168.10.52))
NAT lal lannet wan all-nets http

правили написаны в корне по верх LAN to WAN.
Ping из LAN в DMZ не ходит. Антивируса на компах нет. Прокси прозрачный с NAT.
Помогите, что не так.

А это ничего, что прокси в на самом деле в dmz, а не в lan?
А пинг по правилу для http ходить должен?
И без DNS в интернете трудновато работать будет .

NAT dmz/proxy_ip(192.168.10.52) wan/all-nets http
SAT lal lannet wan all-nets http (SAT ->proxy_ip(192.168.10.52))
NAT lal lannet wan all-nets http

Прокси видит инет, но инета у пользователей нет . пишет it works! работа сервера.
В squidе http 3128 transparent, может nat настроен не так? куда копать?

скрины в студию ... что выпишете напоминает Блог админа, который пытается разговаривать сам с собой ....

ни логов - ни скринов , только то что Вами переработано....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вот скрины DFL:
Всё остальное по дефолту.

на сколько понимаю в ас прозрачный прокси ? или на каком то порту !?
если прозрачный то я не вижу правил - кторые перенаправляют траффик из LAn -> dmz ?
упоминаний про DMZ нету ни каких - ни правил ни чего .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да, прозрачный. подключен в DMZ (192.168.10.52(proxy_ip)). третий скрин.
Вот и прошу помощи правильно написать правила. не могу понять как заставить работать.

ну так где правила разрешающие хождение трафика по вашему сервису !?!?

allow:lan\lannet dmz\dmznet http-all
allow: dmz\dmznet lan\lannet http-all

перенаправили то вы правильно - а трафик разрешить ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Чукча не читатель, чукча писатель?

1) Чтобы пинг везде ходил, сделайте сверху правила вида:
NAT any/all-nets -> wan/all-nets ping-outbound
Allow any/all-nets -> any/all-nets ping-outbound

2) Прокси без DNS работать не будет:
NAT dmz/proxy_ip -> any/all-nets dns-all
это если провайдерские DNS на прокси, иначе нужно DNS-Relay делать.

3) Вкладка SAT в скриншотах отсутствует, поэтому какие там косяки -- не видно.

Вкладка SAT