Page 1 of 10 123 ... LastLast
Results 1 to 15 of 185

Thread: Internet Firewall - WAN&LAN Filter как правильно настроить?

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. 03-07-2006, 20:08 #1
    Micky
    Micky is offline Registered User
    Join Date
    Jul 2006
    Posts
    1

    Question Internet Firewall - WAN&LAN Filter как правильно настроить?

    Здравствуйте

    Купили себе в небольшой офис маршрутизатор "Asus WL550gE". Задача сделать так, чтобы он пускал во внешний мир пакеты только с сервера, и не пускал с рабочих станций. То есть, действие по умолчанию для Firewall должно быть Deny, а исключением должен быть айпи-адрес сервера с нужными портами.

    Заходим в раздел WL550gE "Internet Firewall - WAN & LAN Filter" указана следующая подсказка, которая полностью соответсвует нашим ожиданиям и зачаде:

    LAN to WAN filter allows you to block specified packets between LAN and WAN. At first, you can define the date and time that filter will be enabled. Then, you can choose the default action for filter in both directions and insert the rules for any exceptions.

    А на самом деле ниже нет никакого поля для выбора действия по умолчанию (default action for filter in both directions), а есть просто "LAN to WAN Filter Table" и кнопки Add и Remove. То есть, есть возможность только добавить несколько IP адресов, для которых выход во внешний мир запрещен. Похоже, что подсказка здесь не от этого устройства, или как-то не доделана страница, управляющая "Internet Firewall - WAN & LAN Filter".

    Я попробовал загрузить с сайта Асус более новую прошивку (1.9.6.1), но это не помогло, страница "Internet Firewall - WAN & LAN Filter" осталась без изменений.

    Подскажите, пожалуйста, куда зайти, какие команды задать, чтобы сказать Рутеру, чтобы пропускал в Интернет только пакеты с одного айпи-адреса, а все остальные запрещал.

    Спасибо
    Reply With Quote Reply With Quote
  2. 05-07-2006, 20:53 #2
    Alex Kud
    Alex Kud is offline Member
    Join Date
    Jun 2006
    Posts
    51
    У меня есть настройка:
    Packets (LAN to WAN) not specified will be: ACCEPT/DROP
    Прошивка от Олега 1.9.2.7-7e.
    Reply With Quote Reply With Quote
  3. 13-09-2006, 13:26 #3
    Sabur
    Sabur is offline Member
    Join Date
    Aug 2006
    Posts
    54

    Wan to Lan filter

    А скажите Уважаемые реально ли запретить в Wan to Lan filter нужный мне адрес??? Например www.pupkin.ru??? И как это сделать???
    Заранее благодарен...
    Reply With Quote Reply With Quote
  4. 11-11-2006, 14:08 #4
    Alex Kud
    Alex Kud is offline Member
    Join Date
    Jun 2006
    Posts
    51

    [Вопрос] WAN to LAN Filter

    Возник вопрос, как правильно настроить WAN to LAN фильтр. Я сначала думал так:
    Source IP - адрес-источник пакета из WAN;
    Port Range - диапазон портов источника.
    Destination IP - адрес приемника пакета, находящийся в LAN.
    Port Range - диапазон портов приемника.

    Однако, если выбрать Well-Known Applications как WWW, то порт 80 подставляется в поле порта для "Source IP". Т.е. таким образом запрещается соединение с 80-ого порта? Как-то это не логично, имхо. Мне казалось, что должно запрещаться соединение на 80-ый порт на "Destination IP" с "Source IP". Или я что-то не так понимаю? Объясните, пожалуйста.
    Reply With Quote Reply With Quote
  5. 11-11-2006, 18:38 #5
    Oleg
    Oleg is offline Administrator
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    Запрещается или разрешается зависит, от того, что делать с остальными - Drop или Accept. Если там выбрано Drop, то всё что здесь перечислено будет пропущено.
    Reply With Quote Reply With Quote
  6. 11-11-2006, 20:20 #6
    Alex Kud
    Alex Kud is offline Member
    Join Date
    Jun 2006
    Posts
    51
    Да, это я забыл указать. Допустим, с остальными Accept. Пусть задано так:

    Source IP: x.x.x.x
    Port Range: 80

    Destination IP: y.y.y.y
    Port Range: <пусто>

    Как я понимаю, т.о. будут запрещены все пакеты с x.x.x.x:80 (этот адрес в WAN) на y.y.y.y:<any> (этот адрес в LAN). Вот мне тут кажется странным, что при выборе Well-Known Applications как WWW, 80ый порт подставляется к Source IP. Под Source IP тут точно подразумевается адрес в WAN? Просто на мой взгляд было бы логичнее при выборе Well-Known Applications разрешать/запрещать доступ к каким-то сервисам в LAN, т.е. подставлять соответствующий порт к Destination IP.
    Reply With Quote Reply With Quote
  7. 11-11-2006, 20:24 #7
    Oleg
    Oleg is offline Administrator
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    Ну да, Вы правы. Логика в данном случае нарушена...
    Лучше пользоваться post-firewall, там всё будет однозначно.
    Reply With Quote Reply With Quote
  8. 10-09-2009, 21:30 #8
    ppsbkwmcrs
    ppsbkwmcrs is offline Member
    Join Date
    Nov 2008
    Posts
    42

    Exclamation Есть вопрос про WAN & LAN Filter.

    Здравствуйте.Слышал что лучший фаервол это аппаратный,у меня такой есть wl500gp v1.Прошивка официальная 1.9.7.7.

    Вопросы:
    1) Можно ли мне настроить раздел WAN & LAN Filter так,что бы он затрагивал только мой компьютер,что бы на остальных пользователей роутера моя настройка не влияла?
    2) Прошивок для WL500GP тьма тьмущая, и официальная и "от Олега" и всякие dd,open,free,x-wrt и многие мне не извесные.Я не обладаю никакими особыми знаниями и особые функции мне не нужны.Скажите какая прошивка мне больше всего подходит (официальная?)?
    Reply With Quote Reply With Quote
  9. 11-09-2009, 21:13 #9
    Power
    Power is offline wl-500gp user
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    0) На этих роутерах фаерволл не аппаратный, а программный.
    1) В общем, можно.
    2) Если нет критериев выбора - оставайтесь на той, что уже прошита в ваш роутер.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.
    Reply With Quote Reply With Quote
  10. 11-09-2009, 21:45 #10
    ppsbkwmcrs
    ppsbkwmcrs is offline Member
    Join Date
    Nov 2008
    Posts
    42
    Quote Originally Posted by Power View Post
    0) На этих роутерах фаерволл не аппаратный, а программный.
    1) В общем, можно.
    2) Если нет критериев выбора - оставайтесь на той, что уже прошита в ваш роутер.
    0) Так роутеровский программный лучше любого програмного (наподобие Outpost, Comodo и тд) или мне выбрать обыкновенный фаерволл аля Outpost ? Я думал что роутеровский принципиально лучше любых установливающихся на Windows,это так?

    1) А как это сделать? Я хочу фильтровать только для себя, т.е для 192.168.1.2.
    Reply With Quote Reply With Quote
  11. 11-09-2009, 23:57 #11
    Power
    Power is offline wl-500gp user
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by ppsbkwmcrs View Post
    0) Так роутеровский программный лучше любого програмного (наподобие Outpost, Comodo и тд) или мне выбрать обыкновенный фаерволл аля Outpost ? Я думал что роутеровский принципиально лучше любых установливающихся на Windows,это так?

    1) А как это сделать? Я хочу фильтровать только для себя, т.е для 192.168.1.2.
    0) На роутере стоит ОС Linux. И фаерволл там - более-менее стандартный линуксовый iptables. Я бы не сказал, что он принципиально лучше того же Outpost-а, хотя лично моё мнение: iptables - лучший :) Упомянутый Outpost, например, в те славные времена, когда я им ещё пользовался, любил иногда уронить систему в BSoD (такая опасность существует при использовании любого софта под Win, который добавляет в систему свои драйверы). Использование iptables даёт меньшую вероятность уронить систему, особенно, если он установлен на внешнем устройстве.
    Другой момент - фаерволл на роутере защищает вашу внутреннюю сеть от угроз извне. Но он не защитит ваш комп от угроз, идущих изнутри самой сети (от соседей с вирусами, например). Поэтому более правильная стратегия - общая защита на роутере и отдельная защита на каждом из компов в сети.

    1) Если только для 192.168.1.2, то при создании правил в LAN to WAN Filter Table выбираете Source IP: 192.168.1.2, а в WAN to LAN Filter Table выбираете Destination IP: 192.168.1.2.
    Но веб-морда не даст вам воспользоваться всеми возможностями iptables. А принимая во внимание предыдущий пункт, вывод: лучше установите что-то у себя на компе.

    И не забудьте - каким бы крутым ни был сам фаерволл, всё решает грамотная его настройка.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.
    Reply With Quote Reply With Quote
  12. 17-01-2007, 09:35 #12
    Romgun
    Romgun is offline Registered User
    Send a message via ICQ to Romgun
    Join Date
    Jan 2007
    Posts
    4

    Question Два вопроса: Внутренний IP; post-firewall

    Прошу прощения за столь наивные вопросы.
    1. с этим разобрался

    2. Вопрос про post-firewall. Не хватает ума настроить.
    В теме "инструкция по настройке WL-500g deluxe с нуля" в пункте 9B одна строка об этом "есть еще файлы post-firewall и pre-shutdown". Более подробно нашел http://oleg.wl500g.info/
    Как я понял, вначале используя телнет нужно создать /usr/local/sbin путем mkdir -p /usr/local/sbin. Далее vi /usr/local/sbin/post-firewall и chmod +x /usr/local/sbin/post-firewall . Но далее для меня уже совсем не ясно:
    # prepare image
    flashfs save
    # commit it to flash once you've checked, that file size does not exceed 64k
    flashfs commit
    # if you have not enabled flashfs yet type this as well
    flashfs enable
    Reboot your router and it should then use your file.
    Here is the /usr/local/sbin/post-firewall sample (which I've used in my setup)
    #!/bin/sh
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP
    # deny ftp access from WAN
    iptables -D INPUT -p tcp -m tcp -d "$2" --dport 21 -j ACCEPT
    # Allow access to ssh server from WAN
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
    # start wshaper
    wshaper start "$1" 1000 220
    Буду очень благодарен, если кто-нибудь найдет время и терпение объяснить мне. Поиском пользовался, но нашел уже конкретные рекомендации, которые не понял, поскольку не ясен сам принцип (((
    Last edited by Romgun; 17-01-2007 at 10:05.
    Reply With Quote Reply With Quote
  13. 17-01-2007, 10:14 #13
    Oleg
    Oleg is offline Administrator
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    А что именно не понятно?
    Reply With Quote Reply With Quote
  14. 17-01-2007, 11:00 #14
    Romgun
    Romgun is offline Registered User
    Send a message via ICQ to Romgun
    Join Date
    Jan 2007
    Posts
    4
    В данный момент я выполнил лишь шаги 1 -3 из "руководства с нуля".
    ФТП нет, флэшек нет.
    Следующие шаги 4 "установка SSH-сервера", 8 "установка полезных пакетов" , webtools пропускаю (или я неправильно понял?).
    Далее подключаюсь телнетом. Получаю приглашение [XXX@router root ]$
    Пишу cd /usr попадаю в [XXX@router /usr]$. Пишу cd local попадаю в [XXX@router local]$
    Далее последовательность такая:
    mkdir -p /usr/local/sbin
    cd sbin
    Как я понимаю создается sbin.
    Потом -
    touch ./post-firewall
    chmod +x ./post-firewall
    Здесь я не понял смысл команд и откуда post-firewall. Или это как раз создание скрипта?

    Далее:
    vi /usr/local/sbin/post-firewall
    chmod +x /usr/local/sbin/post-firewall.
    (в комментарии "edit file using vi editor" - извиняюсь, но тоже не понял vi editor уже имеется? На данном шаге начинается написание скрипта?).

    Далее "if your script does not expect any args, just type
    /usr/local/sbin/post-firewall" - не совсем понял, о каких аргументах речь.

    Далее
    flashfs save
    flashfs commit
    flashfs enable
    reboot

    Предположим, необходимо созать 4 правила (условно) -
    а) TCP, направление исходящее, удаленный порт 25, разрешить.
    б) TCP, направление входящее, локальный порт 113, IP- адрес любой, запретить.
    в) TCP, направление входящее, порт 80, IP 195.12.12, запретить.
    г) остальные входящие и исходящие разрешить.

    Что следует мне сделать после написания прфдущего (flashfs enable
    reboot)?
    Прошу прощения, если путанно изложил.
    Reply With Quote Reply With Quote
  15. 20-12-2011, 09:29 #15
    DenisKalou
    DenisKalou is offline Registered User
    Join Date
    Dec 2011
    Posts
    1

    закрыть доступ в интернет

    Здравствуйте, такая проблема:
    в офисе имеется роутер wl-320gP
    необходимо закрыть всем пользователям закрыть выход только в интернет, кроме компьютера с ftp-сервером, но все сетевые ресурсы оставить открытыми.
    Я пробовал ставить в настройках Packets(LAN to WAN) not specified will be: Denied и в таблицу вписать Source IP (Ip ftp-сервера) Port Range 1:65535 Destination IP 0.0.0.0 Port Range 1:65535 Protocol (добавил 2 правила на TCP All и UDP), но по-видимому это не правильно, так как и ftp-сервер и другие пользователи никуда не могут зайти.
    Если дадите ссылку на тему, где это рассматривается(к сожалению ничего не нашел, может плохо искал) или расскажете как - буду очень признателен.

    P.S. В настройках Operation Mode стоит Home Gateway - это может быть причиной?
    Reply With Quote Reply With Quote
Page 1 of 10 123 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Поддержка l7-filter в прошивке энтузиастов
    By severeg in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 72
    Last Post: 26-11-2012, 02:06
  2. Firewall opened by default in the latest firmware ?
    By zerg in forum WL-500gP Firmware Discussion
    Replies: 1
    Last Post: 03-07-2012, 22:23
  3. Mit Webcam ьber DynDNS ins Internet
    By jьrgens in forum German Discussion - Deutsch (DE)
    Replies: 47
    Last Post: 10-09-2011, 20:28
  4. HOWTO: Wake On Lan from internet
    By mistraller in forum WL-500g/WL-500gx Tutorials
    Replies: 7
    Last Post: 02-09-2007, 11:15
  5. Virtual DMZ and WAN to LAN filter
    By Derfel in forum WL-500g Q&A
    Replies: 6
    Last Post: 05-12-2004, 11:25

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules