Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

Mai departe pentru a configura reguli de filtrare a traficului. Alegeți din meniul principal (stânga) Punctul Reguli - Reguli IP. Implicit pe câteva reguli, dar ele nu vor fi luate în considerare și deconectat imediat (click-dreapta pe regula - Dezactivați, sau imediat Ștergeți pentru a elimina regula). Fără reguli DFL va Bloch tot traficul. Regulile sunt aplicate de sus în jos, pentru această interfață în meniul contextual al regulilor, există butoane pentru a deplasa în sus lanțul de sus și în jos. Ie dacă mai întâi ar trebui să decidă că blocuri, de exemplu, tot traficul de pe subrețea Yandex, iar a patra regula in picioare, care permite traficul http pe aceeași subrețea ca și a patra regulă nu funcționează, deoarece toate pachetele la aceste subrețele vor tăia prima regulă.

Crearea de reguli care să ia în considerare un singur lucru - restul sunt identice (cu excepția, poate, regulile http - există tot felul de chifle, care vor fi discutate mai jos).

Pe scurt despre posibile reguli. Arunca - trebuie doar să taie pachete, deși ei nu au ajuns la destinatar. Expeditorul nu este nici măcar știu că sunteți online. Respingere - nu trece pachetul, dar acesta trimite o eroare ICMP sau TCP de resetare. Permite - permite traficul. NAT - NAT în sine, care permite dispozitivelor să comunice în mod normal, de la lokalki cu dispozitive WAN. Fast Forward - Nu știu de ce. SAT - transmiterea de pachete cu parametrii specificați (destinatar IP, IP expeditor, de port) la o adresă IP și port specific - Static Address Translation. Este necesară pentru funcționarea corectă a serviciilor de artificii (în LAN'e). Multiplex SAT - nu știu, dar judecând după titlul este SAT, doar pentru mai multe dispozitive simultan.

În exemplul de creare a unei reguli NOD actualizări antivirus de la server în sediul principal.

  1. Crearea unui serviciu (port), în cazul în care nu este standard. Toate porturile standard au fost deja create și sunt în obiecte - Servicii. Mergem acolo. Adăugați - (. Aici depinde de ce fel de serviciu creați în cele mai multe cazuri, acest lucru este TCP / UDP servicii) TCP / UDP serviciu. Scrieți numele. Alegeți tipul (dacă nu - scrie TCP / UDP). Sursa - portul sursă, și anume, portul de la care merge pachetul. În cazul nostru - orice. Destinația - portul primit, în cazul în care merge pachet (aceste porturi sunt setate în setările de server). Puteți lista mai mult de un port, de exemplu, 135-137, 449. Application Layer Gateway creează reguli speciale pentru servicii. Noi încă nu au nevoie de ea.

Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

Creați un port personalizat

Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

Creați reguli NAT

  • Nu uitați să salvați configurația și să verifice funcționarea corespunzătoare a normelor. Dacă închideți accidental accesul la bucata de fier - Nu vă faceți griji - în lipsa unei conexiuni la interfața web timp de 30 de secunde. Se aruncă setările routerului pe cele anterioare. Creați reguli similare pentru toate serviciile externe relevante. Am creat următoarele reguli: permite tuturor ping (ICMP), RDP pe un port nestandard la biroul principal, DNS la serverul corespunzător, HTTP și HTTPS pe actualizarea subretele antivirus permise.

    Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

  • Acum, avem nevoie pentru a crea regulile de acces la serviciile interne din afara. De exemplu, deschide un RAdmin'a port de pe unul din computerele. Reguli pentru port_forwarding port forwarding am creat un folder pentru a evita confuzia în normele. Creați o nouă regulă SAT. Selectați portul corect (pre-creați-l în cazul în care non-standard). Sursa Interface - wan, Sursa de rețea - subrețea dorită sau toate-plase, de destinație Interface - de bază, rețeaua de destinație - wan_ip.

    Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

    Du-te la fila SAT. Adresa IP nou - dispozitivul dorit IP (pe care serviciul se execută), New Port - concediu, în cazul în care este aceeași ca și în cele de mai sus în fila General al serviciului, sau pentru a seta unul nou. De exemplu, atunci când transmiterea portul PDR nu este acceptat „strălucire“, în afara portului standard de 3389, astfel încât să indice general portul din stânga (de exemplu 6547), și are un SAT standard - 3389 Salvați regula.

    • Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

    Port prokinul, acum trebuie să fie în măsură să accepte pachete de la acest port. Creați o nouă regulă. Acțiunea - permite, sursa si destinatie - la fel ca și în regula anterioară.

    Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

    Pe partea principală a configurare DFL-260 este completă. Puteți trece la setările avansate.

    Pentru a începe dispozitivul nostru se va înregistra pe site-ul D-Link. Du-te la link-ul. Acesta poate fi, de asemenea, găsite în intretinere - Licență. Verificăm în și a obține 90 de zile de actualizări gratuite antivirus și IPS. În Obiecte - ALG cu AV / WCF sunt un standard de reguli puține cu aplicarea avansate de filtrare. Luați în considerare unele dintre ele.

    Blog it-Schnick revizuire și configurare inițială d-link DFL-260E

    Web Filtrarea conținutului

  • http-ieșire-AV-WCF. include, de obicei tot farmecul celor două precedente.

    • La aceasta până când toate. Bucata de fier poate avea încă mult. De exemplu, staticii rutare, IGMP, IDS / IPS, RADIUS, trafic modelarea etc. dar acest lucru este dincolo de domeniul de aplicare al acestui post. Deci, de multe nakalyakal. Sper ca cineva poate ajuta.

    Există INFA pe acest router. Adevărul este vechi, dar principalele puncte rămân aceleași.


    Și este mai bine să nu se scalde cu fierul de călcat, precum și achiziționarea de routere Mikrotik, în care această configurație se face într-o clipită. Și de ajutor pot fi găsite în orice colț al Runet. Inclusiv blog-ul meu pe tag-ul MikroTik. Și totuși MikroTik mai ieftin. Și eu pot învăța toate trucurile lui.