Перейти к содержимому
Калькуляторы

Zyxel Keenetic - поведение МСЭ

Кто-нибудь знает, в какой момент у сабжа стоковая прошивка применяет правила Firewall?

 

Из-за того, что при пробросе портов нельзя указать определённый диапазон для подключений (например, мне надо прокидывать шаровую домашнюю папку, но только таким образом, чтобы я её видел с работы и ниоткуда больше), мне пришлось задействовать штатный брандмауэр.

Выглядит это следующим образом:
1. На вкладке "Трансляция сетевых адресов (NAT)" включена трансляция 445 TCP порта на 445 порт внутреннего сервера 192.168.0.2 (фото 1)
2. На вкладке межсетевого экрана для домашней сети разрешён трафик сервера 192.168.0.2, порт 445 к рабочим ПК на любой порт
3. Весь остальной IP-трафик от узла 192.168.0.2 запрещён (фото 2)

В принципе, эта схема даёт желаемый эффект. Но не понятно, в какой момент включаются правила. Например, я сделал настройки из п. 1 и 3. Естественно с работы шара была недоступна. Затем я добавил правило из п. 2 и всё мгновенно заработало. А вот когда я его снова выключил - связь не прервалась и шара была доступна! (Точно это был не кэш, т.к. воспользовался Wireshark для того, чтобы убедиться в наличии трафика). Перезагрузка роутера помогла. Т.е. правило 2 применяется мгновенно, а отключается вообще не понятно как. Гистерезис какой-то.
В чём может быть логика?

 

 

1.png

2.png

Изменено пользователем M-a-x-Z

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО, при удалении правила не сбрасываются уже установленные соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, azhur сказал:

ИМХО, при удалении правила не сбрасываются уже установленные соединения.

Скорее всего именно так.

Пакет в начале ищется в таблице состояний (типа уже установленных соединений, даже для не TCP), если его там нет то для него чекаются правила и добавляется стейт или пакет отбрасывается/что то ещё делается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сложные правила лучше применять через CLI.

Через веб-интерфейс правила применяются только на IN и не все возможности можно задействовать.

Правда после редактирования через CLI веб-интерфейс для изменения правил использовать уже нельзя, все поломается.

Если правило сработало, то для этого соединения повторно оно уже не применяется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.