Помогите настроить Firewall
Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Помогите настроить Firewall
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
2014-01-21 06:10:22
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Помогите настроить Firewall
2014-01-21 06:10:22
Теги:
Версия прошивки: 1.0.6 Build 20131129 Rel.49461
Ваша страна: Россия
Название провайдера: Ростелеком (Онлайм)
Тип подключения: Dynamic IP
Скорость по тарифу: 50/25 Мбит/с
Добрый день.
Помогите, пожалуйста, настроить firewall на TL-ER6120.
Описание сети:
LAN: 192.168.1.0/24
DMZ: 192.168.2.0/24
в DMZ есть сервер Ubuntu с Apache2 192.168.2.200
Настроен Virtual Server, отражающий 80 порт сервера 192.168.2.200 на 80 порт WAN интерфейса.
Это все работает.
Описание задачи:
Открыть доступ к серверу по HTTP из Интернет только с определенных адресов, с остальных адресов - закрыть.
Создал правила в Firewall - Access Control - Access Rules:
Source: {Real IP address in Internet}/32
Destination: ANY
Policy: Allow
Service: HTTP
Interface: WAN
Effective Time: Always
Source: ANY
Destination: ANY
Policy: Block
Service: All Services
Interface: WAN
Effective Time: Always
Это не работает!
1) блокируется весь траффик из Интернета (включая явно разрешенный адрес),
2) траффик из LAN в сеть DMZ почему-то очень сильно тормозит
3) доступа из LAN в Интернет нет.
Попытка добавить правило:
Source: ANY
Destination: ANY
Policy: Allow
Service: All Services
Interface: LAN
Effective Time: Always
ни к чему не привела.
Те же ошибки.
При удалении блокирующего правила все начинает работать.
Я ранее конфигурировал DMZ и Firewall на устройствах разных вендоров, но с TPLink не работал. Возможно, есть какие-то нюансы.
Прошу помочь решить проблему.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Подписаться
- Добавить в закладки
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
22 Ответить
Посты: 4594
Полезный: 16
Решения: 0
Истории: 0
Дата регистрации: 2011-05-25
Re: Помогите настроить Firewall
2014-01-21 13:07:20
Поменяйте их местами
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-01-22 06:55:08
Сделал, как Вы сказали:
Source: ANY
Destination: ANY
Policy: Block
Service: All Services
Interface: WAN
Effective Time: Always
Source: {Real IP address in Internet}/32
Destination: ANY
Policy: Allow
Service: All Services
Interface: WAN
Effective Time: Always
не заработало:
1) доступа из LAN в Интернет нет (!!!),
2) блокируется весь траффик из Интернета (включая явно разрешенный адрес).
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-01-23 14:41:05
Я готов предоставить дистационный доступ к оборудованию или даже его демонтировать и передать на диагностику, но мне нужно оборудование, которое соответствует заявленным характеристикам!
Подскажите, пожалуйста, что мне делать дальше?
А тем временем у меня и второй вопрос на подходе: Я пробросил через "виртуальный сервер" 21 порт внутреннего хоста наружу, все работает. Меняю порт на нестандартный для FTP, и FTP не работает (клиент цепляется, но выдает какие-то нелепые ошибки)!
Ранее я такой режим использовал на роутере ASUS WL-500gP, который меня более (к сожалениию) не устраивает по пропускной способности.
Коллеги, ау? Есть тут кто-нибудь?
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-01-24 07:54:15
[quote="Boris"]"коллега", что ж ты такой тугой?[/quote]Полегче на поворотах, уважаемый.
Инженерного стажа у меня достаточно, уж поверь. Но несколько не в этой области, поэтому и обращаюсь за поддержкой (а не за наездами). Обязательно попробую предложенный вариант, и не нужно быковать.
Насчет обратных пакетов: ранее я конфигурировал firewall-ы от juniper (SSG5, SRX100, SRX650), ASUS и Dlink (бытовые) и нигде не прописывал два таких правила для одного такого доступа (я про тот случай, что обсуждается). Вероятно, обратные пакеты проходят "внутри сессии, образованной входящими пакетами" или как-то так, я не силен в теории и могу ошибаться в формулировках.
Потом, я думал, что ANY включает в себя все сети. Я действительно ошибаюсь?
И наконец, действительно ли нужно явно прописать весь разрешенный траффик, если он по умолчанию разрешен весь? Я же в запрещающем правиле указываю WAN-интерфейс, как тот, что принимает пакеты (согласно документации) для того, чтобы запретить траффик именно со стороны Интернета.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-03-10 05:11:15
В ноябре 2013 года я купил в магазине http://pleer.ru роутер
TL-ER6120.
Обнаружил в нем две ошибки, подтвержденные службой технической
поддержки.
Мы с ними переписывались на эту тему несколько месяцев и наконец они
подтвердили, что ошибки действительно существуют и что они передали
информацию разработчикам.
Номера заявок в техническую поддержку: 1012528 и 1021907.
К сожалению, дальше ничего не происходит, а именно, обратной связи
нет, сколько ждать выхода новой прошивки - неизвестно, и вообще
начали ли устранять неисправность - тоже непонятно.
Я боюсь, что срок гарантии подойдет к концу, и я так и останусь с
неработающим устройством.
Если я приду в магазин его сдавать, с меня потребуют документ
(справку) из сервисного центра о том, что устройство не соответствует
заявленным характеристикам. Такую справку мне не дают, молчат.
Я готов поменять его на аналогичный роутер, например, TL-ER6020, в
котором, по утверждениям сотрудников техподдержки, данные функции
работают.
Как мне это осуществить? И сколько можно ждать?
Вместо благодарности мне за нахождение ошибок в прошивке (обычно за
это дарят подарки) я пока ничего не получил, ни ответа, ни обещаний.
Прошу сообщить, что мне делать дальше.
Заранее благодарю.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 553
Полезный: 3
Решения: 0
Истории: 0
Дата регистрации: 2014-02-25
Re: Помогите настроить Firewall
2014-03-16 15:06:17
[quote="yanson"]Обнаружил в нем две ошибки, подтвержденные службой техническойМожете описать эти 2 ошибки? Я проверю на своих девайсах.
поддержки.[/quote]
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-03-16 15:50:23
2) Не работает виртуальный сервер для FTP-сервера в DMZ, который слушает стандартный порт, но пробрасывается в WAN на нестандартный. Другие протоколы работают, то же самое для сервера в LAN работает.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 553
Полезный: 3
Решения: 0
Истории: 0
Дата регистрации: 2014-02-25
Re: Помогите настроить Firewall
2014-03-18 19:32:33
Судя по тому, что LAN: 192.168.1.0/24, а DMZ: 192.168.2.0/24 - это режим DMZ Private. В этом режиме, по умолчанию, разрешены все соединения из LAN в DMZ без NAT, а обратные соединения из DMZ в LAN все запрещены.
Правила в таблице Access Rules применяются сверху вниз в порядке приоритета, т.е. чем выше правило, тем оно главнее над нижеследующими. Обычно, сначала пишутся правила, которые разрешают все нужные соединения в любом случае, потом идет группа запрещающих правил и в самом конце группа разрешающих правил.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Re: Помогите настроить Firewall
2014-03-18 20:11:25
В этих железяках динамическая фильтрация вообще работает или нет? В смысле, когда "обратные" или "пассивные" пакеты внутри построенного соединения проходят автоматически?
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 553
Полезный: 3
Решения: 0
Истории: 0
Дата регистрации: 2014-02-25
Re: Помогите настроить Firewall
2014-03-18 20:20:18
[quote="yanson"]В этих железяках динамическая фильтрация вообще работает или нет? В смысле, когда "обратные" или "пассивные" пакеты внутри построенного соединения проходят автоматически?[/quote]Да, работает внутри сокета установленного соединения.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
2014-01-21 06:10:22
Посты: 11
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2014-01-20
Информация
Поблагодарили: 0
Просмотры: 15502
Ответы: 22
Избиратели 0
За него еще никто не проголосовал.
Теги
Статьи по теме
Помогите настроить
3548
0
Помогите настроить роутер
2932
0
Помогите настроить cpe 210
1357
0
Пожаловаться на неуместный контент
Модуль переноса
Новое сообщение