Jump to content

Zyxel Keenetic - поведение МСЭ

M-a-x-Z
 Share

Recommended Posts

M-a-x-Z

M-a-x-Z

Posted
Posted (edited)

Кто-нибудь знает, в какой момент у сабжа стоковая прошивка применяет правила Firewall?

 

Из-за того, что при пробросе портов нельзя указать определённый диапазон для подключений (например, мне надо прокидывать шаровую домашнюю папку, но только таким образом, чтобы я её видел с работы и ниоткуда больше), мне пришлось задействовать штатный брандмауэр.

Выглядит это следующим образом:
1. На вкладке "Трансляция сетевых адресов (NAT)" включена трансляция 445 TCP порта на 445 порт внутреннего сервера 192.168.0.2 (фото 1)
2. На вкладке межсетевого экрана для домашней сети разрешён трафик сервера 192.168.0.2, порт 445 к рабочим ПК на любой порт
3. Весь остальной IP-трафик от узла 192.168.0.2 запрещён (фото 2)

В принципе, эта схема даёт желаемый эффект. Но не понятно, в какой момент включаются правила. Например, я сделал настройки из п. 1 и 3. Естественно с работы шара была недоступна. Затем я добавил правило из п. 2 и всё мгновенно заработало. А вот когда я его снова выключил - связь не прервалась и шара была доступна! (Точно это был не кэш, т.к. воспользовался Wireshark для того, чтобы убедиться в наличии трафика). Перезагрузка роутера помогла. Т.е. правило 2 применяется мгновенно, а отключается вообще не понятно как. Гистерезис какой-то.
В чём может быть логика?

 

 

1.png

2.png

Edited by M-a-x-Z
Ivan_83

Ivan_83

Posted
Posted
7 часов назад, azhur сказал:

ИМХО, при удалении правила не сбрасываются уже установленные соединения.

Скорее всего именно так.

Пакет в начале ищется в таблице состояний (типа уже установленных соединений, даже для не TCP), если его там нет то для него чекаются правила и добавляется стейт или пакет отбрасывается/что то ещё делается.

alibek

alibek

Posted
Posted

Сложные правила лучше применять через CLI.

Через веб-интерфейс правила применяются только на IN и не все возможности можно задействовать.

Правда после редактирования через CLI веб-интерфейс для изменения правил использовать уже нельзя, все поломается.

Если правило сработало, то для этого соединения повторно оно уже не применяется.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.