Page 1 of 13 12311 ... LastLast
Results 1 to 15 of 185

Thread: Internet Firewall - WAN&LAN Filter как правильно настроить?

  1. #1

    Question Internet Firewall - WAN&LAN Filter как правильно настроить?

    Здравствуйте

    Купили себе в небольшой офис маршрутизатор "Asus WL550gE". Задача сделать так, чтобы он пускал во внешний мир пакеты только с сервера, и не пускал с рабочих станций. То есть, действие по умолчанию для Firewall должно быть Deny, а исключением должен быть айпи-адрес сервера с нужными портами.

    Заходим в раздел WL550gE "Internet Firewall - WAN & LAN Filter" указана следующая подсказка, которая полностью соответсвует нашим ожиданиям и зачаде:

    LAN to WAN filter allows you to block specified packets between LAN and WAN. At first, you can define the date and time that filter will be enabled. Then, you can choose the default action for filter in both directions and insert the rules for any exceptions.

    А на самом деле ниже нет никакого поля для выбора действия по умолчанию (default action for filter in both directions), а есть просто "LAN to WAN Filter Table" и кнопки Add и Remove. То есть, есть возможность только добавить несколько IP адресов, для которых выход во внешний мир запрещен. Похоже, что подсказка здесь не от этого устройства, или как-то не доделана страница, управляющая "Internet Firewall - WAN & LAN Filter".

    Я попробовал загрузить с сайта Асус более новую прошивку (1.9.6.1), но это не помогло, страница "Internet Firewall - WAN & LAN Filter" осталась без изменений.

    Подскажите, пожалуйста, куда зайти, какие команды задать, чтобы сказать Рутеру, чтобы пропускал в Интернет только пакеты с одного айпи-адреса, а все остальные запрещал.

    Спасибо

  2. #2
    У меня есть настройка:
    Packets (LAN to WAN) not specified will be: ACCEPT/DROP
    Прошивка от Олега 1.9.2.7-7e.

  3. #3

    Wan to Lan filter

    А скажите Уважаемые реально ли запретить в Wan to Lan filter нужный мне адрес??? Например www.pupkin.ru??? И как это сделать???
    Заранее благодарен...

  4. #4

    [Вопрос] WAN to LAN Filter

    Возник вопрос, как правильно настроить WAN to LAN фильтр. Я сначала думал так:
    Source IP - адрес-источник пакета из WAN;
    Port Range - диапазон портов источника.
    Destination IP - адрес приемника пакета, находящийся в LAN.
    Port Range - диапазон портов приемника.

    Однако, если выбрать Well-Known Applications как WWW, то порт 80 подставляется в поле порта для "Source IP". Т.е. таким образом запрещается соединение с 80-ого порта? Как-то это не логично, имхо. Мне казалось, что должно запрещаться соединение на 80-ый порт на "Destination IP" с "Source IP". Или я что-то не так понимаю? Объясните, пожалуйста.
    Router: ASUS WL-550gE
    Firmware (Oleg): 1.9.2.7-10

  5. #5
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Запрещается или разрешается зависит, от того, что делать с остальными - Drop или Accept. Если там выбрано Drop, то всё что здесь перечислено будет пропущено.

  6. #6
    Да, это я забыл указать. Допустим, с остальными Accept. Пусть задано так:

    Source IP: x.x.x.x
    Port Range: 80

    Destination IP: y.y.y.y
    Port Range: <пусто>

    Как я понимаю, т.о. будут запрещены все пакеты с x.x.x.x:80 (этот адрес в WAN) на y.y.y.y:<any> (этот адрес в LAN). Вот мне тут кажется странным, что при выборе Well-Known Applications как WWW, 80ый порт подставляется к Source IP. Под Source IP тут точно подразумевается адрес в WAN? Просто на мой взгляд было бы логичнее при выборе Well-Known Applications разрешать/запрещать доступ к каким-то сервисам в LAN, т.е. подставлять соответствующий порт к Destination IP.
    Router: ASUS WL-550gE
    Firmware (Oleg): 1.9.2.7-10

  7. #7
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Ну да, Вы правы. Логика в данном случае нарушена...
    Лучше пользоваться post-firewall, там всё будет однозначно.

  8. #8
    Хорошо, спасибо! Если можно, еще пара вопросов: распространяется ли действие WAN to LAN фильтра на пакеты, направленные на IP-адрес WAN-порта роутера? Т.е., если например WAN to LAN фильтр в режиме DROP для всех пакетов, будут ли доступны Virtual Server'а? Или WAN to LAN это только для пакетов, у которых адрес назначения находится непосредственно в LAN? Если это так, то есть ли вообще смысл использовать WAN to LAN фильтр, если роутер в режиме Home Gateway, а не Router? Как я понимаю, если включен NAT, то пакеты из WAN в LAN и так не должны проходить, или я не прав?
    Router: ASUS WL-550gE
    Firmware (Oleg): 1.9.2.7-10

  9. #9
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Нет, не распространяется. И да, режиме HomeGateway особого в фильтре нет.

  10. #10
    Спасибо, Олег! Все ясно.
    Router: ASUS WL-550gE
    Firmware (Oleg): 1.9.2.7-10

  11. #11

    Question Два вопроса: Внутренний IP; post-firewall

    Прошу прощения за столь наивные вопросы.
    1. с этим разобрался

    2. Вопрос про post-firewall. Не хватает ума настроить.
    В теме "инструкция по настройке WL-500g deluxe с нуля" в пункте 9B одна строка об этом "есть еще файлы post-firewall и pre-shutdown". Более подробно нашел http://oleg.wl500g.info/
    Как я понял, вначале используя телнет нужно создать /usr/local/sbin путем mkdir -p /usr/local/sbin. Далее vi /usr/local/sbin/post-firewall и chmod +x /usr/local/sbin/post-firewall . Но далее для меня уже совсем не ясно:
    # prepare image
    flashfs save
    # commit it to flash once you've checked, that file size does not exceed 64k
    flashfs commit
    # if you have not enabled flashfs yet type this as well
    flashfs enable
    Reboot your router and it should then use your file.
    Here is the /usr/local/sbin/post-firewall sample (which I've used in my setup)
    #!/bin/sh
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP
    # deny ftp access from WAN
    iptables -D INPUT -p tcp -m tcp -d "$2" --dport 21 -j ACCEPT
    # Allow access to ssh server from WAN
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
    # start wshaper
    wshaper start "$1" 1000 220
    Буду очень благодарен, если кто-нибудь найдет время и терпение объяснить мне. Поиском пользовался, но нашел уже конкретные рекомендации, которые не понял, поскольку не ясен сам принцип (((
    Last edited by Romgun; 17-01-2007 at 11:05.

  12. #12
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    А что именно не понятно?

  13. #13
    В данный момент я выполнил лишь шаги 1 -3 из "руководства с нуля".
    ФТП нет, флэшек нет.
    Следующие шаги 4 "установка SSH-сервера", 8 "установка полезных пакетов" , webtools пропускаю (или я неправильно понял?).
    Далее подключаюсь телнетом. Получаю приглашение [XXX@router root ]$
    Пишу cd /usr попадаю в [XXX@router /usr]$. Пишу cd local попадаю в [XXX@router local]$
    Далее последовательность такая:
    mkdir -p /usr/local/sbin
    cd sbin
    Как я понимаю создается sbin.
    Потом -
    touch ./post-firewall
    chmod +x ./post-firewall
    Здесь я не понял смысл команд и откуда post-firewall. Или это как раз создание скрипта?

    Далее:
    vi /usr/local/sbin/post-firewall
    chmod +x /usr/local/sbin/post-firewall.
    (в комментарии "edit file using vi editor" - извиняюсь, но тоже не понял vi editor уже имеется? На данном шаге начинается написание скрипта?).

    Далее "if your script does not expect any args, just type
    /usr/local/sbin/post-firewall" - не совсем понял, о каких аргументах речь.

    Далее
    flashfs save
    flashfs commit
    flashfs enable
    reboot

    Предположим, необходимо созать 4 правила (условно) -
    а) TCP, направление исходящее, удаленный порт 25, разрешить.
    б) TCP, направление входящее, локальный порт 113, IP- адрес любой, запретить.
    в) TCP, направление входящее, порт 80, IP 195.12.12, запретить.
    г) остальные входящие и исходящие разрешить.

    Что следует мне сделать после написания прфдущего (flashfs enable
    reboot)?
    Прошу прощения, если путанно изложил.

  14. #14

    как можно обнулить настройки firewall у Premium

    похоже, что я что то не так сделал с цепочками iptables.
    (об этом писал в теме настройка post-firewall, портфорвардинг

    хотелось бы их обнулить до первоначального состояния.
    это можно как нибудь сделать, не сбрасывая роутер?
    и если сбрасывать, то достаточно 5-секундного нажатия и нужно ли будет переустанавливать имеющиеся у меня программы?
    спасибо за ответ.

  15. #15
    Join Date
    Jan 2006
    Location
    Moscow
    Posts
    85
    Quote Originally Posted by thebix View Post
    похоже, что я что то не так сделал с цепочками iptables.
    (об этом писал в теме настройка post-firewall, портфорвардинг

    хотелось бы их обнулить до первоначального состояния.
    это можно как нибудь сделать, не сбрасывая роутер?
    и если сбрасывать, то достаточно 5-секундного нажатия и нужно ли будет переустанавливать имеющиеся у меня программы?
    спасибо за ответ.
    iptables -F попробуйте, подробнее - iptables -h

Page 1 of 13 12311 ... LastLast

Similar Threads

  1. Поддержка l7-filter в прошивке энтузиастов
    By severeg in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 72
    Last Post: 26-11-2012, 03:06
  2. Firewall opened by default in the latest firmware ?
    By zerg in forum WL-500gP Firmware Discussion
    Replies: 1
    Last Post: 03-07-2012, 23:23
  3. Mit Webcam ьber DynDNS ins Internet
    By jьrgens in forum German Discussion - Deutsch (DE)
    Replies: 47
    Last Post: 10-09-2011, 21:28
  4. HOWTO: Wake On Lan from internet
    By mistraller in forum WL-500g/WL-500gx Tutorials
    Replies: 7
    Last Post: 02-09-2007, 12:15
  5. Virtual DMZ and WAN to LAN filter
    By Derfel in forum WL-500g Q&A
    Replies: 6
    Last Post: 05-12-2004, 12:25

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •