Настройка firewall на d link

Обновлено: 06.07.2024

В этой статье мы будем разбираться, как открыть порты на роутере D-Link. Подробно, на примере D-Link DIR-615 рассмотрим процесс проброса портов для программы, игры, или сервера. На моем D-Link DIR-615 установлена новая прошивка, со светлой панелью управления. Эта статья подойдет для многих роутеров компании D-Link: D-Link DIR 300, DIR 320, DIR 620 и т. д. Если у вас такая же панель управления, как у меня на скриншотах ниже, то можете смело следовать этой инструкции.

Открываем порты на роутере D-Link DIR-615, DIR-300 и других моделях

Настраивается проброс портов в панели управления роутером. Поэтому, нам нужно сначала зайти в настройки. Для этого, перейдите в браузере по адресу 192.168.0.1 (или 192.168.1.1) . Укажите имя пользователя и пароль. Стандартные - admin и admin. Если у вас не получается зайти в настройки, то смотрите подробную инструкцию для устройств D-Link.

В настройках переходим на вкладку Межсетевой экран/Виртуальные серверы. И нажимаем на кнопку Добавить.

Ну а дальше, заполняем нужные поля. Я сначала сделаю описание каждого поля, которое нам нужно заполнить, а тогда прикрепляю скриншот, что бы было более понятно.

  • Обратите внимание, в выпадающем списке Шаблон. можно выбрать один из уже созданных шаблонов. Если нужного вам сервера там нет, то оставляем Custom.
  • В поле Имя, можно указать имя программы, или игры, для которой вы открываете порт на своем D-Link.
  • Протокол - выбираем нужный протокол.
  • ПоляВнешний порт (начальный) и Внешний порт (конечный). Тут нужно указать начальный и конечный порт, который нужно пробросить. Если вы вообще не знаете, какие порты вам нужно открыть, то смотрите в настройках программы/игры, в инструкции, или на официальном сайте. Если вам нужно открыть только один порт, а не диапазон, то заполните только поле Внешний порт (начальный).
  • Внутренний порт (начальный) и Внутренний порт (конечный). Здесь указываем порт, или снова же диапазон портов, на который будет идти трафик с порта, который мы указали выше.
  • Внутренний IP - здесь, из списка выбираем компьютер, на IP которого будет перенаправляться трафик. Компьютер, для которого мы открываем порт, должен быть подключен к роутеру, что бы была возможность выбрать его из списка.

Остальные поля, о которых я не написал, как правило заполнять не нужно. Когда заполните все нужные поля, нажмите на кнопку Применить.

Вы увидите созданное правило, которое можно отредактировать (нажав на него) , или удалить. Можно создавать новые правила для проброса портов, точно таким же способом.

Управление виртуальными серверами на D-Link DIR-615

Дальше, нужно сохранить настройки, и перезагрузить роутер. Система - Сохранить. Система - Перезагрузить.

Сохраняем настройки после открытия порта на D-Link DIR-615

И еще несколько важных моментов.

Если вы все сделали правильно (проверили настройки) , но нужная вам программа, или игра так и не получает пакеты из интернета, то возможно, что их блокируем ваш брандмауэр. Стандартный, встроенный в Windows, или сторонний, который установлен у вас (как правило, встроен в антивирус) . Нужно создать правило, и разрешить обращения через нужный порт. Или, на время проверки отключить его вообще. Мы когда открывали порт, то указывали IP адрес компьютера. В списке, у вас может быть много устройство. Как найти нужный компьютер? Откройте вкладку Статус/DHCP. Там будут указаны все устрйоства, которые подключены на данный момент, их IP и имена. Вот по имени, вы уже сможете выбрать нужный вам компьютер. Писал об этом здесь. Как узнать порт, или диапазон портов, которые нужно открыть?

Писал об этом выше. Эту информацию нужно смотреть в настройках игры, или программы. Там точно указан порт. Так же, такая информация должна быть в справке по программе, и на официальном сайте. В крайнем случае, можно загуглить:)

Фильтры Вебсайтов

Фильтры Вебсайтов (раздел Website Filter) используются, чтобы Вы могли настроить список разрешенных Веб сайтов, которые смогут посещать пользователи сети. Чтобы использовать эту возможность, выберите Allow или Deny, введите домен или вебсайт и кликните Add, а затем кликните Save Settings. Вы также должны выбрать Apply Web Filter в разделе Access Control.

Выберите Deny или Allow, чтобы запретить или разрешить доступ компьютеров только к перечисленным сайтам.

Кликните, чтобы удалить все записи в списке.

Введите ключевые слова или адреса URL, которые Вы хотите разрешить или запретить.

Введите имя для правила входного фильтра.

Выберите Allow или Deny.

Установите флажок, чтобы включить правило.

Введите начальный IP адрес. Введите 0.0.0.0, если Вы не хотите указывать диапазон IP.

Введите конечный IP адрес. Введите 255.255.255.255, если Вы не хотите указывать диапазон IP.

Кликните кнопку Save, чтобы применить ваши настройки. Вы должны кликнуть Save Settings вверху, чтобы сохранить настройки.

Этот раздел перечисляет все правила, которые были когда-либо созданы. Вы можете кликнуть инонку Edit, чтобы изменить настройки или включить / выключить правило, либо кликните инонку Delete, чтобы удалить правило.

Настройки Брандмауэра

Брандмауэр защищает вашу сеть от внешнего мира. D-Link DIR-615 предлагает функциональность типа брандмауэр. Функция SPI помогает предотвратить кибер атаки. Если Вы захотите сделать компьютер видимым со стороны внешнего мира (Интернета) для определенных типов приложений, Вы можете включить DMZ. Эта опция сделает компьютер полностью видимым для внешнего мира.

SPI помогает предотвратить кибер атаки, отслеживая более тщательно передаваемый во время сеанса трафик. Она проверяет, что трафик, передаваемый в течение сеанса, соответствует протоколу.

Если приложение испытывает проблемы при работе через маршрутизатор (со стороны LAN), вы можете сделать один компьютер видимым со стороны Интернета и запустить приложение на этом компьютере.
Замечание: Помещение компьютера в DMZ может подвергнуть этот компьтер ряду рисков безопасности. Использовать эту опцию рекомендуется только как последнее средство.

Укажите IP адрес компьютера LAN, которому Вы хотите разрешить взаимодействовать с внешним миром (т.е. с Интернетом) без каких-либо ограничений. Если этот компьютер получает свой IP адрес автоматически, используя DHCP, удостоверьтесь, что настроили для него статическую резервацию на странице System > Network Settings, так чтобы IP адрес DMZ машины не мог измениться.

Маршрутизация

Эта страница позволяет Вам указать пользовательские маршруты, которые определяют, как данные перемещаются по вашей сети.

Каждый Маршрут имеет галочку, установите ее, если Вы хотите включить данный маршрут.

Укажите имя для идентификации этого маршрута.

Выберите интерфейс, который IP пакет должен использовать для перехода из маршрутизатора, когда этот маршрут используется.

Введите адрес хоста или сети, до которой Вы хотите добраться по данному маршруту.

Это поле идентифицирует часть IP адреса назначения, которая используется идентификации сети.

Здесь будет показан IP адрес маршрутизатора.

Продвинутые Беспроводные Настройки

Установите мощность передачи антенн.

Это значение следует оставить по умолчанию, т.е. 2346. Если имеет место несогласованный поток данных, может быть сделана только небольшая поправка.

Данная опция включает работу 802.11d. 802.11d является беспроводной спецификацией, разработанной для реализации беспроводных сетей в странах, которые не могут использовать стандарт 802.11. Эту функцию следует включать только в том случае, если Вы находитесь в стране, которая этого требует.

Установите данную галочку, чтобы уменьшить время защитного интервала и тем самым увеличить емкость данных. Однако, это менее надежно и может вызвать более значительную потерю данных.

Продвинутые Сетевые Настройки

Чтобы использовать Универсальную функциональность Plug and Play (UPnP™), кликните на Enabled. UPNP обеспечивает совместимость с сетевым оборудованием, софтом и периферией.

Снятие галочки не позволит DIR-615 отвечать на пинг. Блокирование Пинга может обеспечить некоторую дополнительную безопасность от хакеров. Установите флажок, чтобы позволить Интернет порту “пинговаться”.

Вы можете установить скорость Интернет порта в 10Mbps, 100Mbps или авто. Некоторые более старые кабели и DSL модемы требовали установку скорости порта в 10Mbps.

Установите галочку, чтобы разрешить мультикастовому трафику проходить через маршрутизатор из Интернета.

Сетевые экраны D-link DFL-260E/860E/1660/2560/2560G NetDefend UTM обеспечивают защиту от вирусов, несанкционированного доступа и нежелательного контента, а также расширенные возможности управления, мониторинга и обслуживания сети предприятия.


Рассмотрим настройку этих сетевых экранов для работы с 3CX Phone System, находящейся в локальной сети за NAT. Настройка проводится по рекомендациям 3CX, в частности, публикуются неоходимые порты сервисов 3CX Phone System.

Определение хостов и сервисов

Добавьте в адресную книгу Address Book D-link IP адреса сервера 3CX (в нашем примере 192.168.10.3) и SIP сервера провайдера (в нашем примере 193.200.32.23).

image

Добавьте новый тип сервиса в раздел Services. Опишите в нем тип протокола и используемые порты. На картинке ниже показана настройка сервисов SIP и RTP.

image

Также создайте сервис для 3CX Tunnel.

image

image

image

Публикация сервисов

Рассмотрим порядок создания правил на примере одного из них, для SIP и RTP трафика.
Первое правило задает SAT преобразование.

Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.

Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.

Второе правило аналогично первому, но просто разрешает это SAT преобразование.

Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение Allow правил для SIP.

Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для 3CX Tunnel.

В конце настройки не забудьте сохранить изменения и быстро переподключиться к устройству. В противном случае новая конфигурация не будет сохранена!

В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения

Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.

Последовательность действий:

  1. Создание адресной книги
  2. Конфигурирование интерфейсов
  3. Настройка маршрутизации
  4. Настройка правил безопасности
  5. Конфигурирование VPN сервера
  6. Настройка маршрутизации VPN
  7. Настройка правил безопасности
  1. Устройство сети

Сеть состоит из внутренней сети LAN, Сети DMZ

Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.

Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.

Последовательность шагов настройки роутера D-Link DFL-860E

2 Создание адресной книги D-Link DFL-860E

DLINK DFL Адресная книга

В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером

3 Конфигурирование интерфейсов D-Link DFL-860E

Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер

d-link dfl настройка интерфесов

Wan1 подключен к Корбине. Адрес получает автоматически.

Вкладка Hardware по умолчанию

Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов

WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге

Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.

Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS : internet . beeline . ru . Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.

Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU

С метрикой надо поподробнее:

Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan 1 -100

Весь трафик идет через wan 1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение

4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E

Смотрим основную таблицу:

d-link dfl Настройка таблиц динамической маршрутизации

Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100

Маршрут в интернет соединение Корбины L2TP с метрикой 110

Запасной маршрут в ПТН с метрикой 120

Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины

Создаем для этого еще одну таблицу маршрутизации forward_routing

dlink dfl Настройка маршрутизации

А теперь самое интересное

Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации

dlink dfl Настройка маршрутизации

Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации

dlink dfl Настройка маршрутизации

В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan 1, к нему применятся таблица маршрутизации forward _ routing , которая направляет его в интерфейс L 2 TP . Для приходящих обратно пакетов работает таблица main

Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward _ routing

Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2

dlink dfl Настройка правил

В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2

Для того чтобы входящие пакеты с интерфейса wan 2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan 2 необходимо создать еще одно правило: short_wan2_back

dlink dfl Настройка правил

Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.

5 Настройка правил безопасности D-Link DFL-860E

Настройка правил безопасности D-Link DFL-860E

Правило 2 разрешает пинг маршрутизатора из локальной сети

Настройка правил безопасности D-Link DFL-860E

Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть

Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть

Настройка правил безопасности D-Link DFL-860E

Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса

Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет

Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины

Настройка правил безопасности D-Link DFL

Правило 1-13 проброс внутренних сервисов через интерфес WAN 2 второго провайдера в интернет

Правило 14 включает преобразование адресов NAT на интерфейсе WAN 2 второго провайдера

6 Конфигурирование VPN сервера D-Link DFL-860E

Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.

Создаем новый Pre shared key

VPN сервера D-Link DFL

Заходим в interfaces / IPSec и создаем новый интерфейс

VPN сервера D-Link DFL

Вкладка Authentication . Выбираем Preshared key который мы создали ранее

VPN сервера D-Link DFL

Во вкладке Routing отмечаем автоматическое добавление маршрута

image052

Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:

D-link router PPTP/L2TP Servers

Заходим в User Authentication / Local User Databases и создаем базу для удаленных пользователей:

D-link router PPTP/L2TP Servers

После чего создам самих удаленных пользователей

Идем в User Authentication / User Authentication Rules и создаем правило аутентификации . Привязываемся там ко всем объектам, которые мы создали ранее

D-link router PPTP/L2TP Servers

Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.

D-link router PPTP/L2TP Servers

7 Настройка маршрутизации для VPN . D-Link DFL-860E

При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно

8 Настройка правил безопасности D-Link DFL-860E

Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ

При желании можно правила ужесточить и назначить только специфические сервисы

D-link router правила безопасности

Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»

Читайте также: