Добрый день, Можно блокировать "ответные" пакеты от сервера, в таком случае до авторизации не должно дойти дело. ПО RDP тоже самое. На данный момент в режиме контроллера на omada шлюзах можно сделать только блок пакетов из LAN в WAN. NAT Table не припомню на ER6120, на какой версии он у Вас был?

 

Nat Table был во всей линейке в v.1

 

Можно блокировать "ответные" пакеты от сервера, - сервер VPN это сам шлюз, как я могу по вашим словам заблокировать трафик на WAN, я как раз об этом и спрашиваю - ER7206 без фаервола всегда отвечает, для решения именно этой задачи сделайте хотя бы опцию - после N неудачных входов, блокировать IP на N времени, (я уже не говорю, добавить этот ip автоматом в группу блокировки, которая затем добавляется в правила блокировки - это все уже давно облегчает жизнь на других устройствах, и очень давно придумано..)

 

Можно пример - как и где мне заменить обычные привычные правила ??

 

Вот вроде бы обыденная задача, помогите с ее решением на новом железе ER7206 + OC300 Omada и в новой админке (что и где я должен вбить, что бы это заработало) :

 

1      RDP_IN                   RDP_Clients                        RDP_Server                   Allow             RDP           WAN1           Any

2      RDP_Block              IPGROUP_ANY                  RDP_Server                   Block             RDP           WAN1           Any

3      BLOCK                    BLICK_IP                             Me                                 Block              ALL            WAN1           Any

 

1. разрешает подключение разрешенным RDP_Clients по rdp к внутренним серверам RDP_Server

2. блокирует все входящие rdp, что не разрешены первым правилом

3. блокирует все входящие с черных BLICK_IP

 

RDP_Clients - группа разрешенных ip

RDP_Server - группа внутренних серверов за NAT

RDP - группа портов rdp

BLICK_IP - группа черных ip для блока

Me - так представляется в 6120 все WAN

Any - временной интервал

 

Что и куда - разруливается пробросом портов в Virtual Servers (на новом еще не пробовал настраивать, так как оказалось я не могу фильтровать трафик на порту).

 

P.S. накипело

Не могу понять логики компании которая пилит прошивки к железкам за такие деньги...

Зачем мне красивые графики в коробке - если оно ничего не умеет???

  @VamaX 

 

Добрый день.

 

Разница в ACL между 7206 и 6120 есть в режиме контроллера и в будущих обновлениях режимы Standalone и Controller будут "синхронизироваться" т.е. то, чего нет в Controller, но есть в Standalone будут добавляться и наоборот.

 

В режиме контроллера, можно блокировать только пакеты из LAN в WAN. "входящие" нельзя блокировать, только исходящие.

 

Если необходимо блокировать "входящие пакеты" - Вы можете пока использовать режим Standalone(без контроллера). При этом в правилах ACL используйте direction "ALL".