Правила фаервола для DMZ



  • Здравствуйте. Для сети OPT1 добавил три правила, чтобы можно было обращаться к DNS, и работал интернет.

    Как их можно сделать "строже" или "точнее"? И будет ли сеть OPT1 считаться с такими правилами сетью DMZ? И еще непонятная ситуация. ПК из OPT1 не может пинговать ПК из Lan. Это мне понятно, т.к. правилами не разрешено. Но после того как ПК из Lan пропингует ПК из OPT1, ПК из OPT1 может какое-то время пинговать ПК из Lan. Почему так?



  • Пробовал такие правила:

    Но так ничего не работает.



  • отправляя icmp-запрос маршрутизатор ждет icmp-ответ… а если там вместо "ответа" будет встречный "запрос" маршрутизатор не разбирает и пересылает и его  ;D



  • ради чего все это делается?
    если в сети dmz разместить сервер к примеру web-сервер
    1.запрещаешь доступ в LAN
    2.разрешаешь ему полный доступ в инет
    в OPT1 any-any-any-…
    3.в настройках Firewall: NAT: Port Forward
    Interface WAN
    Protocol TCP
    Destination WAN Address
    Destination port range 80
    Redirect target IP - айпи твоего web-сервака
    Redirect target port - 80
    Filter rule association - если оставить "Add..." то создаст автоматом разрешающее правило

    и все твой сервак виден WAN IP на 80 порту
    по аналогии можно вешать другие сервисы



  • @zhhh:

    ради чего все это делается?

    Для себя, чтобы знать.
    Спасибо. Так намного проще.

    Еще вопросик. Фаервол ответы на запросы не обрабатывает? Только сами запросы фильтрует?


Log in to reply