Аппаратная версия устройства: TL-ER6120 v1.0
Версия прошивки: 1.0.6 Build 20131129 Rel.49461
Ваша страна: Россия
Название провайдера: Ростелеком (Онлайм)
Тип подключения: Dynamic IP
Скорость по тарифу: 50/25 Мбит/с
Добрый день.
Помогите, пожалуйста, настроить firewall на TL-ER6120.
Описание сети:
LAN: 192.168.1.0/24
DMZ: 192.168.2.0/24
в DMZ есть сервер Ubuntu с Apache2 192.168.2.200
Настроен Virtual Server, отражающий 80 порт сервера 192.168.2.200 на 80 порт WAN интерфейса.
Это все работает.
Описание задачи:
Открыть доступ к серверу по HTTP из Интернет только с определенных адресов, с остальных адресов - закрыть.
Создал правила в Firewall - Access Control - Access Rules:
Source: {Real IP address in Internet}/32
Destination: ANY
Policy: Allow
Service: HTTP
Interface: WAN
Effective Time: Always
Source: ANY
Destination: ANY
Policy: Block
Service: All Services
Interface: WAN
Effective Time: Always
Это не работает!
1) блокируется весь траффик из Интернета (включая явно разрешенный адрес),
2) траффик из LAN в сеть DMZ почему-то очень сильно тормозит
3) доступа из LAN в Интернет нет.
Попытка добавить правило:
Source: ANY
Destination: ANY
Policy: Allow
Service: All Services
Interface: LAN
Effective Time: Always
ни к чему не привела.
Те же ошибки.
При удалении блокирующего правила все начинает работать.
Я ранее конфигурировал DMZ и Firewall на устройствах разных вендоров, но с TPLink не работал. Возможно, есть какие-то нюансы.
Прошу помочь решить проблему.
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Помогите настроить Firewall
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
-
Rolis
- Сообщения: 544
- Зарегистрирован: 25 фев 2014, 20:02
- Страна: Россия
- Откуда: Moscow
- Контактная информация:
Re: Помогите настроить Firewall
Да, работает внутри сокета установленного соединения.yanson писал(а):В этих железяках динамическая фильтрация вообще работает или нет? В смысле, когда "обратные" или "пассивные" пакеты внутри построенного соединения проходят автоматически?
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE | Archer C2300 | TL-ER7206
Re: Помогите настроить Firewall
Что мне сделать, чтобы это заработало? Переключиться в режим Public?
Re: Помогите настроить Firewall
см. личку
-
Rolis
- Сообщения: 544
- Зарегистрирован: 25 фев 2014, 20:02
- Страна: Россия
- Откуда: Moscow
- Контактная информация:
Re: Помогите настроить Firewall
Нет, этот режим можно использовать только, если провайдер выделил вам подсеть, часть которой вы хотите отдать под публичный DMZ. А вот "серые" подсети провайдеры не любят маршрутизировать для конечных пользователей.yanson писал(а):Что мне сделать, чтобы это заработало? Переключиться в режим Public?
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE | Archer C2300 | TL-ER7206
-
Rolis
- Сообщения: 544
- Зарегистрирован: 25 фев 2014, 20:02
- Страна: Россия
- Откуда: Moscow
- Контактная информация:
Re: Помогите настроить Firewall
После проверки на своем девайсе удалось подтвердить некорректную работу базовой функции DMZ.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE | Archer C2300 | TL-ER7206
Re: Помогите настроить Firewall
Спасибо, Александр.
Совместно с коллегой мы пришли к выводу, что на этой железке функция DMZ работает некорректно.
1) При отстутствии каких-либо правил файрвола есть доступ из DMZ в LAN. Режим DMZ = Private. То есть не работает базовая функция DMZ.
2) При создании двух правил, первое из которых явно разрешает любой доступ из LAN в DMZ, а второе запрещает любой доступ из DMZ в LAN, пропадает доступ из LAN в DMZ, то есть динамическая фильтрация (или пропускание "обратных" или "пассивных" пакетов) не работает.
Сотрудники техподдержки, прошу прокомментировать.
Надеюсь, этого достаточно, чтобы железяку приняли обратно или хотя бы прокомментировали, что они собираются с этим всем делать.
Совместно с коллегой мы пришли к выводу, что на этой железке функция DMZ работает некорректно.
1) При отстутствии каких-либо правил файрвола есть доступ из DMZ в LAN. Режим DMZ = Private. То есть не работает базовая функция DMZ.
2) При создании двух правил, первое из которых явно разрешает любой доступ из LAN в DMZ, а второе запрещает любой доступ из DMZ в LAN, пропадает доступ из LAN в DMZ, то есть динамическая фильтрация (или пропускание "обратных" или "пассивных" пакетов) не работает.
Сотрудники техподдержки, прошу прокомментировать.
Надеюсь, этого достаточно, чтобы железяку приняли обратно или хотя бы прокомментировали, что они собираются с этим всем делать.
-
Rolis
- Сообщения: 544
- Зарегистрирован: 25 фев 2014, 20:02
- Страна: Россия
- Откуда: Moscow
- Контактная информация:
Re: Помогите настроить Firewall
Ответ техподдержки:
Общались с разработчиками.
Согласно руководству пользователя (стр. 31-32). В режиме Private доступ есть как из LAN в DMZ, так и из DMZ в LAN. Запрет доступа из DMZ в LAN присутствует только в режиме Public.
Разработчики ответили, что логика работы DMZ именно такова и даже с помощью правил никак невозможно в режиме Private запретить доступ из DMZ в LAN.
Последний раз редактировалось Rolis 26 мар 2014, 15:35, всего редактировалось 4 раза.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE | Archer C2300 | TL-ER7206
-
alexandr
Re: Помогите настроить Firewall
Здравствуйте.
Общались с разработчиками.
Согласно руководству пользователя(стр. 31-32). В режиме Private доступ есть как из LAN в DMZ, так и из DMZ в LAN. Запрет доступа из DMZ в LAN присутствует только в режиме Public.
Разработчики ответили, что логика работы DMZ именно такова и даже с помощью правил никак невозможно в режиме Private запретить доступ из DMZ в LAN.
То есть это логика работы роутера, но не ошибка.
Общались с разработчиками.
Согласно руководству пользователя(стр. 31-32). В режиме Private доступ есть как из LAN в DMZ, так и из DMZ в LAN. Запрет доступа из DMZ в LAN присутствует только в режиме Public.
Разработчики ответили, что логика работы DMZ именно такова и даже с помощью правил никак невозможно в режиме Private запретить доступ из DMZ в LAN.
То есть это логика работы роутера, но не ошибка.
-
Rolis
- Сообщения: 544
- Зарегистрирован: 25 фев 2014, 20:02
- Страна: Россия
- Откуда: Moscow
- Контактная информация:
Re: Помогите настроить Firewall
Да, теперь логика работы роутера понятна. До этого я рассматривал классическую схему работу базовой функции DMZ, где так не должно работать.
TL-ER6120 | TL-ER6020 | TL-R600VPN | TL-ER604W | TL-WA5210G | TL-WA5110G | TL-WR941ND | TL-WR842ND | TL-WA750RE | TL-WA901ND | TL-MR3420 | TL-MR3020 | TL-SG3210 | TL-SG1024DE | TL-SL5428E | TL-SL3428 | TL-WA860RE | TL-WA855RE | Archer C2300 | TL-ER7206
Re: Помогите настроить Firewall
Ок, я понял.
На 1-й вопрос ответ принят. К сожалению, мне нельзя использовать режим Public, т.к. у меня только один реальный IP-адрес.
Прошу ответить на второй вопрос:
"При создании двух правил, первое из которых явно разрешает любой доступ из LAN в DMZ, а второе запрещает любой доступ из DMZ в LAN, пропадает доступ из LAN в DMZ, то есть динамическая фильтрация (или пропускание "обратных" или "пассивных" пакетов) не работает."
На 1-й вопрос ответ принят. К сожалению, мне нельзя использовать режим Public, т.к. у меня только один реальный IP-адрес.
Прошу ответить на второй вопрос:
"При создании двух правил, первое из которых явно разрешает любой доступ из LAN в DMZ, а второе запрещает любой доступ из DMZ в LAN, пропадает доступ из LAN в DMZ, то есть динамическая фильтрация (или пропускание "обратных" или "пассивных" пакетов) не работает."