D-Link DIR-300. Настройка firewall

Обсуждения проблем с железом. Полезные советы по теме.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

D-Link DIR-300. Настройка firewall

Сообщение UncleFather »

  1. Приоритет правил идет сверху-вниз, сначала первое правило, потом второе и т.д. То есть если создано запрещающее правило с номером 1, и точно такое же разрешающее правило с номером 2, то будет работать первое правило, т.к. его приоритет выше. Другими словами - если пакет подпадает под правило - оно срабатывает и ниже правила уже не рассматриваются

  2. При включении SPI никакие пакеты извне не проходят несмотря на настройки Firewall. SPI расценивает внешнее подключение как атаку извне.

  3. При пробросе портов при помощи Port Forwarding, этот порт открывается для всех внешних хостов. Если нужно открыть только для нескольких внешних хостов, то Firewall Rules будут выглюдеть так:

    Код: Выделить всё

    Первое правило - разрешить ПРОТОКОЛ ПОРТ для первого хоста.
    Второе правило - разрешить ПРОТОКОЛ ПОРТ для второго хоста.
    Третье правило - запретить ПРОТОКОЛ ПОРТ для *

    где "ПРОТОКОЛ" - протокол, по которому хотим подключаться, а "ПОРТ" - порт, по которому хоти подключаться.
    Причем, правила на моем девайсе заработали только после пары перезагрузок...

  4. ОБНОВЛЯЙТЕ прошивку!!!


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Re: D-Link DIR-300. Настройка firewall

Сообщение UncleFather »

Оттестировал прошивку 2.20 B1.(D-Link DIR-300, Firmware Version : 2.02 , Mon 14 Dec 2009)

  1. При включенном SPI нужные пакеты извне нормально проходят.

  2. В D-Link DIR-300 нет возможности создать проброс порта избранных хостов извне на внутренний узел. Возможно лишь сделать проброс портов для всех внешних хостов (без контроля доступа).
    При создании в Port Forwarding проброса порта на внутренний хост, автоматически создается первое по приоритету правило в Firewall & DMZ Settings которое разрешает доступ со всех внешних узлов на указанный в Port Forwarding внутренний хост по указанным там же портам. Естественно, что, согласно концепции D-Link Firewall, при проверке правил (если срабатывает одно, то дальнейшие не проверяются), это первое правило будет всегда обладать наивысшим приоритетом и дальнейшие правила (при сработке первого) просто не будут проверяться.
    Необходимую фильтрацию поддерживают роутеры D-Link DIR-615 и выше, там есть Inbound filter.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение

Ответить