Page 4 of 13 FirstFirst ... 23456 ... LastLast
Results 46 to 60 of 185

Thread: Internet Firewall - WAN&LAN Filter как правильно настроить?

  1. #46

    Падение PPTP-соединения при окончании lease time (видимо проблема с файрволом)

    В продолжение темы вот этой.

    Вот тут пытался разбираться с аналогичной появившеся проблемой с провайдером. Провайдер хороший, доброжелательный, помог найти возможную проблему и даже предоставил временное решение.

    Возможная причина:

    boco: у меня роутера нет, я могу только теоретизировать. у udhcp (это dhcp-клиент/сервер, используемый в роутере) есть возможность запускать скрипты по событиям. в частности, по событию "получение адреса". нужно в этом скрипте сделать добавление адреса dhcp-сервера (берется из переменных окружения) в список доверенных хостов, с которых принимается любой трафик. или, если опасаетесь за безопасность, только с/на 67-68/udp.

    boco: патч для клиента всего в две строчки - меняет режим, в котором открывается сокет для продления лиза, с обычного на raw (то есть, на такой же, в котором происходит первичное получение лиза). в этом режиме клиент получает пакеты в обход фаервола.

    boco: у udhcp (это dhcp-клиент/сервер, используемый в роутере) есть возможность запускать скрипты по событиям. в частности, по событию "получение адреса". нужно в этом скрипте сделать добавление адреса dhcp-сервера (берется из переменных окружения) в список доверенных хостов

    boco: я сейчас подумал, что он так и поступает, и именно поэтому до 29 апреля работал нормально. до этого времени ответ дхцп-сервера приходил с адреса 10.8.3.1 и именно этот адрес был указан в качестве сервера в самом пакете. адрес добавлялся в фаервол и все следующие пакеты с дхцп-сервера принимались нормально. сейчас же для каждого клиента в качестве адреса сервера в пакете указывается адрес его (клиента) дхцп-релея. это помогло побороть невозможность продления лиза д-линками типа ди-604, но в результате пакет по-прежнему идет с реального адреса дхцп-сервера (10.8.2.1), а в качестве сервера указан адрес клиентского дхцп-релея и поэтому udhcp заносит в фаервол адрес релея, а не адрес сервера, в результате пакеты от сервера на продление лиза не проходят фаервол.

    boco: теперь про то, как решать:

    1. можно добавить 10.8.2.1 в список доверенных (без всяких скриптов, статически)
    2. описать разработчику проблему и отправить патч в надежде, что он сочтет возможным включить его в будущие релизы прошивок
    3. пользоваться и дальше патченой прошивкой, но помнить о наличии проблемы в случае обновления прошивки.

  2. #47
    К вопросу о настройке WAN to LAN Filter на WL500gP ...

    Наткнулся на эту тему во время поиска ответа на то, как мне разрешить заходить по Radmin компу из WAN на комп в LAN. Причем не любому произвольному компу, а только компу с указанного IP адреса. Кроме этого должен быть открыт публичный доступ к WEB серверу расположенному на 80 порту того же компа.

    Так вот, у меня все получилось и я решил оставить свои пять копеек информации тем кто будет решать эту проблему в дальнейшем:

    Сначала идем на страницу "NAT Setting - Virtual Server" прописываем там два виртуальных сервера.

    1) Веб сервер
    Port Range - 80
    Local Ip- 192.168.1.2 (локальный ip вашего сервера)
    Local Port - 80
    Protocol - TCP


    1) Radmin
    Port Range - 4889
    Local Ip- 192.168.1.2 (локальный ip вашего сервера)
    Local Port - 4889
    Protocol - TCP

    Теперь идем на страницу "Internet Firewall - WAN & LAN Filter"

    Enable WAN to LAN Filter?:Yes
    Packets(WAN to LAN) not specified will be: Drop
    Port Forwarding default policy: Drop

    дальше прописываем в WAN to LAN Filter Table два правила

    1) Для Radmin
    Source IP - 195.1.90.9 (это внешний IP c которого мы хотим иметь доступ к radmin) Destination port - 4899 (порт Radmin)
    Остальные поля оставляем пустыми.

    2) Для Web сервера
    Destination IP - 192.168.1.2 (внутренний IP сервера)
    Destination Port - 80 (порт сервера)
    Остальные поля оставляем пустыми.

    Сохраняем настройки, перезагружаем роутер. Вуаля - все работает.
    Доступность(недоступность) порта можно проверить http://connect.majestyc.net/?t=80&u=

  3. #48

    Закрыть доступ к локальной сети

    Настроена сеть wi-fi, точка доступа wl-320ge (ip раздает dhcp), нужно чтобы тем кто подключен к Wi-FI, была недоступна локальная сеть и доступ к компьютерам, только интернет, кроме прописанных "своих" компьютеров.
    Покапался в настройках, ничего подходящего не нашел. Подскажите как решить задачу.

  4. #49
    Обновил прошивку для точки доступа.
    Подскажите в разделе WAN & LAN Filter есть пункт LAN to WAN Filter, я так понимаю с помощью этих настроек можно ограничить доступ к LAN?
    Вопрос следующий, что нужно писать в строке Filtered ICMP(LAN to WAN) packet types: ???
    При этом уже вписанные значения, не удалить. То ли глюк прошивки, то ли я что то не атк делаю.

  5. #50
    Quote Originally Posted by Don DaDDa View Post
    Вопрос следующий, что нужно писать в строке Filtered ICMP(LAN to WAN) packet types: ???
    При этом уже вписанные значения, не удалить. То ли глюк прошивки, то ли я что то не атк делаю.
    Это у Вас настройка пинга. Вы разрешаете или запрещаети пинги.

    Настроена сеть wi-fi, точка доступа wl-320ge (ip раздает dhcp), нужно чтобы тем кто подключен к Wi-FI, была недоступна локальная сеть и доступ к компьютерам, только интернет, кроме прописанных "своих" компьютеров.
    Покапался в настройках, ничего подходящего не нашел. Подскажите как решить задачу.
    Через Веб Вам не осуществить задуманное.
    _______________________________________________
    4150(Был разбит экран) + Motorola E398 + WL-HDD2.5

  6. #51
    Что значит через Веб? Веб интерфейс настроки точки доступа?
    Подскажите, отцы, как по-другому решить задачу?

  7. #52
    Ставишь ssh сервер на роутере, подключаешся, настраиваешь iptables.

    Что-то вроде этого
    iptables -A INPUT -i valan1 -j DROP
    iptables -A OUTPUT -o vlan1 -j DROP
    iptables -A FORWARD -i vlan1 -o wan1 -j ACCEPT
    iptables -A FORWARD -o vlan1 -i wan1 -j ACCEPT
    Last edited by KanycTa; 29-08-2008 at 10:41.

  8. #53

    Настройка фаервола

    Добрый день.Такой вот вопрос.Имею выделенный инет, соединенный по кабелю через Asus WL-500GP V2.Также имеется медиаплеер Iconbit соединенный по Wi-Fi через роутер с компом.Какие нужно сделать настройки в фаерволе, чтобы моя сеть(плеер и шара на компе) не были видны извне? Спасибо

  9. #54
    Join Date
    Feb 2008
    Location
    Dniepropetrovsk, Ukraine
    Posts
    1,526

    Exclamation

    Quote Originally Posted by Accept2 View Post
    Добрый день.Такой вот вопрос.Имею выделенный инет, соединенный по кабелю через Asus WL-500GP V2.Также имеется медиаплеер Iconbit соединенный по Wi-Fi через роутер с компом.Какие нужно сделать настройки в фаерволе, чтобы моя сеть(плеер и шара на компе) не были видны извне? Спасибо
    если у вас включен NAT и Firewall то по умолчанию все так и есть как вы хотите!

  10. #55
    Ну,Firewal включен,а как и с какими настройками включить NAT, и что это даст? Спасибо

  11. #56
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by Accept2 View Post
    Ну,Firewal включен,а как и с какими настройками включить NAT, и что это даст? Спасибо
    Если файерволл включен - никто извне ничего лишнего не увидит.

  12. #57

    internet firewall: диапазон IP

    Сейчас стоит D-Link. В firewall можно задать диапазон IP адресов в пунктах start IP и end IP через web интерфейс для, скажем, блокировки портов. Ничего подобного в wl500gpV2 любой прошивки не нашел. Прошу помощи, можно ли задать диапазон IP в internet firewall и как это сделать?

  13. #58
    man iptables

  14. #59
    Значит через web не работает, а руками можно? Хорошо, спасибо.

  15. #60
    Для "стартующих" проще через веб-интерфейс, но даже в прикрепленном мануале настоятельно советуют все делать с помощью iptables

Page 4 of 13 FirstFirst ... 23456 ... LastLast

Similar Threads

  1. Поддержка l7-filter в прошивке энтузиастов
    By severeg in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 72
    Last Post: 26-11-2012, 02:06
  2. Firewall opened by default in the latest firmware ?
    By zerg in forum WL-500gP Firmware Discussion
    Replies: 1
    Last Post: 03-07-2012, 22:23
  3. Mit Webcam ьber DynDNS ins Internet
    By jьrgens in forum German Discussion - Deutsch (DE)
    Replies: 47
    Last Post: 10-09-2011, 20:28
  4. HOWTO: Wake On Lan from internet
    By mistraller in forum WL-500g/WL-500gx Tutorials
    Replies: 7
    Last Post: 02-09-2007, 11:15
  5. Virtual DMZ and WAN to LAN filter
    By Derfel in forum WL-500g Q&A
    Replies: 6
    Last Post: 05-12-2004, 11:25

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •