Правила фаервола для DMZ
-
Здравствуйте. Для сети OPT1 добавил три правила, чтобы можно было обращаться к DNS, и работал интернет.
Как их можно сделать "строже" или "точнее"? И будет ли сеть OPT1 считаться с такими правилами сетью DMZ? И еще непонятная ситуация. ПК из OPT1 не может пинговать ПК из Lan. Это мне понятно, т.к. правилами не разрешено. Но после того как ПК из Lan пропингует ПК из OPT1, ПК из OPT1 может какое-то время пинговать ПК из Lan. Почему так? -
Пробовал такие правила:
Но так ничего не работает. -
отправляя icmp-запрос маршрутизатор ждет icmp-ответ… а если там вместо "ответа" будет встречный "запрос" маршрутизатор не разбирает и пересылает и его ;D
-
ради чего все это делается?
если в сети dmz разместить сервер к примеру web-сервер
1.запрещаешь доступ в LAN
2.разрешаешь ему полный доступ в инет
в OPT1 any-any-any-…
3.в настройках Firewall: NAT: Port Forward
Interface WAN
Protocol TCP
Destination WAN Address
Destination port range 80
Redirect target IP - айпи твоего web-сервака
Redirect target port - 80
Filter rule association - если оставить "Add..." то создаст автоматом разрешающее правилои все твой сервак виден WAN IP на 80 порту
по аналогии можно вешать другие сервисы -
ради чего все это делается?
Для себя, чтобы знать.
Спасибо. Так намного проще.
Еще вопросик. Фаервол ответы на запросы не обрабатывает? Только сами запросы фильтрует?