M-a-x-Z Опубликовано 9 мая, 2018 (изменено) · Жалоба Кто-нибудь знает, в какой момент у сабжа стоковая прошивка применяет правила Firewall? Из-за того, что при пробросе портов нельзя указать определённый диапазон для подключений (например, мне надо прокидывать шаровую домашнюю папку, но только таким образом, чтобы я её видел с работы и ниоткуда больше), мне пришлось задействовать штатный брандмауэр. Выглядит это следующим образом: 1. На вкладке "Трансляция сетевых адресов (NAT)" включена трансляция 445 TCP порта на 445 порт внутреннего сервера 192.168.0.2 (фото 1) 2. На вкладке межсетевого экрана для домашней сети разрешён трафик сервера 192.168.0.2, порт 445 к рабочим ПК на любой порт 3. Весь остальной IP-трафик от узла 192.168.0.2 запрещён (фото 2) В принципе, эта схема даёт желаемый эффект. Но не понятно, в какой момент включаются правила. Например, я сделал настройки из п. 1 и 3. Естественно с работы шара была недоступна. Затем я добавил правило из п. 2 и всё мгновенно заработало. А вот когда я его снова выключил - связь не прервалась и шара была доступна! (Точно это был не кэш, т.к. воспользовался Wireshark для того, чтобы убедиться в наличии трафика). Перезагрузка роутера помогла. Т.е. правило 2 применяется мгновенно, а отключается вообще не понятно как. Гистерезис какой-то. В чём может быть логика? Изменено 9 мая, 2018 пользователем M-a-x-Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 9 мая, 2018 · Жалоба ИМХО, при удалении правила не сбрасываются уже установленные соединения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 мая, 2018 · Жалоба 7 часов назад, azhur сказал: ИМХО, при удалении правила не сбрасываются уже установленные соединения. Скорее всего именно так. Пакет в начале ищется в таблице состояний (типа уже установленных соединений, даже для не TCP), если его там нет то для него чекаются правила и добавляется стейт или пакет отбрасывается/что то ещё делается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 10 мая, 2018 · Жалоба Сложные правила лучше применять через CLI. Через веб-интерфейс правила применяются только на IN и не все возможности можно задействовать. Правда после редактирования через CLI веб-интерфейс для изменения правил использовать уже нельзя, все поломается. Если правило сработало, то для этого соединения повторно оно уже не применяется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...