ЛВС Роутер D-Link DIR-100. Проблема с настройкой фаервола.

Тема в разделе "Локальные сети (ЛВС), Hardware ("Железо"), Windows", создана пользователем shurikvz, 17 июн 2011.

  1. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Доброго времени суток.

    Имеем роутер D-Link DIR-100.
    Задача 1.
    Надо открыть удаленный доступ по RDP.
    Порт 3389 пробросил через NAT, с этим проблем нет, все работает.

    Задача 2.
    Надо запретить из локальной сетки все исходящие подключения.
    Что сделано:
    В фаервол добавлено правило что с интерфейса LAN на WAN запретить все по всем протоколам.

    Ну сообственно в этом то и проблема: когда подключаются по RDP - входящее то подключение роутер пропускает (п.1), но ответ от сервера обратно клиенту уже нет (поскольку п.2). И как прописать не знаю: ответ то клиенту идет не на какой-то определенный порт, а я так понимаю на рандомный.

    Кто знает, возможно ли на этом роутере настроить вышерассказанное, т.е. проброс порта, и правило что-ли, такое что если отвечает сервис по входящему запросу с порта 3389, то тогда разрешить исходящее (ответное) соединение на любой порт, иначе, точно также - блокировать все исходящие.


    З.Ы. Советы по любому другому роутеру или межсетевому экрану, в котором это гарантировано возможно - тоже принимаются (ну только космические по цене штуки не предлагайте, бюджет ну 3-7 тыров). Единственный нюанс, нужен не просто глупый NAT, а с возможностью форвардинга порта, т.е. возможностью указать что входящее соединение например по входящему порту 10 пробросить в локальную сеть на порт 3389.
  2. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Каким файерволом воспользовался?Встроенным в роутер?
  3. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Да.
  4. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Посмотри Winroute Firewall самая гибкая штука которую я когда либо видел.За свою бытность сисадмином.По моему кстати не очень дорогой
  5. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    О таком знаю. Описание подробно не читал. Но использование его значит придется цеплять роутер напрямую к серверу, на сервере устанавливать Kerio, и у клиентов шлюзом прописывать уже сервер. Не очень бы хотелось так конечно, хотелось железку. Если других вариантов не останется, буду конечно рассматривать софтверные решения.
  6. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Есть еще ideko аппаратное решение,только про него я на семинаре слышал и все.Сам не юзал
  7. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Мда уж. Невесело. Ideco SX10 – 23 700 руб. Если собирать комп на mini-itx и ставить туда Winroute - то же самое по деньгам выйдет.
  8. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Ну циска еще как вариант=)
  9. Diego
    Offline

    Diego Любитель 1С Команда форума

    Регистрация:
    3 апр 2009
    Сообщения:
    966
    Симпатии:
    2
    Баллы:
    29
    У меня D-link DFL-210 стоит, но в Ваш бюджет он не много не укладывается.
    Очень надежен, настроил и забыл.

    В правилах проброс портов там 2 раза настраивается:
    одно правило делает проброс с порта Х на порт 3389 (Х сделал не стандартный),
    второе разрешает подключение к порту Х только с определенных адресов.

    Может в DIR100 также?
    Журнал у файрволла там есть?
  10. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Да, это у меня уже сделано (в моем описании п.1).

    Имеется ввиду с определенных адресов внутренней сетки (LAN)?
    Я пробовал ставить правило "разрешить" с LAN->WAN по порту Х, но так не проходит.
    Если открыть активные подключения на самом сервере, то можно увидеть что соединение идет на внешний IP (тот который подключился по RDP) с каким-то рандомным конечным портом.

    Есть. Сейчас просто попробовать не могу, с удаленного места все уже ушли попробовать оттуда подключиться некому.
  11. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    И кстати если бюджет 7 тысяч,чего Вам стоит найти старенький "пенек".Там нужна только 2 хороших сетевых,жесткий на 10 ГБ.Ставите туда *nix и настраиваете как Вам нужно.
  12. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Мммм.... Только одно НО... я с линуксом на ВЫ. :angry:
  13. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Могу помочь в этом я с линуксом на ты=)
  14. Requin
    Offline

    Requin Опытный в 1С

    Регистрация:
    10 май 2010
    Сообщения:
    1.911
    Симпатии:
    2
    Баллы:
    29
    Можно использовать специализированные дистрибутивы:
    IPCop, IPFire, ClarkConnect, Endian Firewall, pfSense и т.п.
    Там на "ты" не обязательно нужно. У нас порядка 3-х лет IPCop используется, да еще и с объединением сетей филиалов через OpenVPN.
  15. Diego
    Offline

    Diego Любитель 1С Команда форума

    Регистрация:
    3 апр 2009
    Сообщения:
    966
    Симпатии:
    2
    Баллы:
    29
    Нет, это правило открывает порт "наружу" только для определенных IP адресов (адрес филиала и мой домашний :angry: )

    У Вас наверно не работает из-за того, что выход в интернет через роутер из внутренней сети закрыт (в журнале файрвола найдете причину).
    Может стоит разрешить терминальному серверу, к которому подключаетесь, выход наружу.
    Или закрыть наружу конкретные порты, чтобы в интернет не лазили (25,80,110 и т.п.)
  16. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Понятно. Но так не получится. Филиалу то можно было бы. Но нескольким людям нужна работа из дома. IP у них естественно динамический.


    Да, думаю именно из-за этого (я писал об этом в первом посте :D )

    Выход наружу ему только хочу разрешить в ответ на входящее подключение RDP. Во всех остальных случаях - чтобы наружу ничего не пролезло.

    80, 110 открыл. Пусть по интернету лазают и почту получают, на здоровье.
    Вышесказанное - это защита не от пользователей.
  17. kavak
    Offline

    kavak Опытный в 1С

    Регистрация:
    13 май 2010
    Сообщения:
    703
    Симпатии:
    0
    Баллы:
    26
    Посмотрите на самом деле спец дистирбы линукс,которые сделаны имено под функцию роутера,настроить может и новичок
  18. Diego
    Offline

    Diego Любитель 1С Команда форума

    Регистрация:
    3 апр 2009
    Сообщения:
    966
    Симпатии:
    2
    Баллы:
    29
    Ну тогда группе адресов открыть. Как минимум первые 2 октета динамического адреса все равно известны.
    Все лучше, чтобы всякие хакеры из Бразилии-Зимбабве порты не сканили.
    Что-то не ясно.
    То пишите что выход в интернет изнутри закрыт, то пишите что 80,110 открыты. :angry:
  19. TopicStarter Overlay
    shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Ну так то да. На днях у меня сканирование портов из китая прошло. (хотя хз, может просто китайская прокся)

    Прошу прощения. Задача 2 полностью звучит:
    Надо запретить из локальной сетки все исходящие подключения, кроме нескольких по известным портам, таким как например http, https, pop.
  20. Бухгалтерский угодник
    Offline

    Бухгалтерский угодник Администраторы Команда форума Администратор

    Регистрация:
    29 дек 2008
    Сообщения:
    21.520
    Симпатии:
    407
    Баллы:
    104
    Стоял у клиентов этот зверь (не к ночи будет упомянут).
    Все можно разрулить при условии статических адресов в сети через
    Advenced-Routing и правилами Firewall&DMZ

Поделиться этой страницей