|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
TGEgL
HV vaatleja
liitunud: 14.12.2013
|
07.11.2015 20:20:54
Kuidas seadistada Elioni ruuter Inteno DG301A nii, et teatud seadmed ei pääse netti? |
|
|
Kuidas seadistada Elioni ruuter Inteno DG301A nii, et teatud seadmed ei pääse netti aga on nähtavad teistele LAN'is olevatele seadmetele.
Eesmärk oleks seadistada võrk nii:
Ruuteri küljes ripub PC A ja B jne ning "karp X". PC A, B jne pääsevad netti ja saavad ligi karbile X aga karp X ise internetti ei pääse.
Karbile X on võimalik anda manuaalselt IP aadress ja see on ka kõik, mida seal seadistada saab.
Tänan
_________________
Kõik roheine vajab CO2 |
|
| tagasi üles |
|
 |
A.S.
HV Guru
liitunud: 27.10.2003
|
|
07.11.2015 20:26:33
|
|
|
| Kui Inteno ei võimalda, siis switch (mitte muidugi see kõige rumalam) vahele ja seal juba VLAN lipukestega veidikene mängid?
|
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
33 |
|
| tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
|
07.11.2015 20:45:17
Re: Kuidas seadistada Elioni ruuter Inteno DG301A nii, et teatud seadmed ei pääse netti? |
|
|
| TGEgL kirjutas: |
| Karbile X on võimalik anda manuaalselt IP aadress ja see on ka kõik, mida seal seadistada saab. |
Annad karbile X staatilise IP ja teed vastava Firewalli forward ruuli.
LAN -> WAN
Sourceks paned siis selle karbi X IP, IPV4 and IPV6 ja protocol any ning action reject või drop siis vastavalt maitsele.
Ehk siis teed uue Lan to Wan ruuli ja ainsad asjad mis sul seal muuta vaja on, on Src IP ja Action, ülejäänu peaks by default juba õige olema.
_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
| Kommentaarid: 228 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
194 |
|
| tagasi üles |
|
|
TGEgL
HV vaatleja
liitunud: 14.12.2013
|
|
07.11.2015 21:23:31
Re: Kuidas seadistada Elioni ruuter Inteno DG301A nii, et teatud seadmed ei pääse netti? |
|
|
| Etz kirjutas: |
| TGEgL kirjutas: |
| Karbile X on võimalik anda manuaalselt IP aadress ja see on ka kõik, mida seal seadistada saab. |
Annad karbile X staatilise IP ja teed vastava Firewalli forward ruuli.
LAN -> WAN
Sourceks paned siis selle karbi X IP, IPV4 and IPV6 ja protocol any ning action reject või drop siis vastavalt maitsele.
Ehk siis teed uue Lan to Wan ruuli ja ainsad asjad mis sul seal muuta vaja on, on Src IP ja Action, ülejäänu peaks by default juba õige olema. |
Kuidas seda Inteno DG301 tehakse?
muudatus 20:22
Kas midagi sellist?
Firewall - Traffic Rules -
Restrict to address family: IPV4 and 6
Protocol: TCP+UDP
Match ICMP type: any
Source zone: lan
Source MAC address: Karbi X aadress
Source address: Karbi X aadress
Destination zone: wan
Destination address: any
Destination port: any
Action: drop |
_________________
Kõik roheine vajab CO2 |
|
| tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
|
07.11.2015 21:36:47
Re: Kuidas seadistada Elioni ruuter Inteno DG301A nii, et teatud seadmed ei pääse netti? |
|
|
| TGEgL kirjutas: |
Kuidas seda Inteno DG301 tehakse?
muudatus 20:22
Kas midagi sellist?
Firewall - Traffic Rules -
Restrict to address family: IPV4 and 6
Protocol: TCP+UDP
Match ICMP type: any
Source zone: lan
Source MAC address: Karbi X aadress
Source address: Karbi X aadress
Destination zone: wan
Destination address: any
Destination port: any
Action: drop |
|
MAC address jäta tühjaks, piisab IP'st ja mina teeks antud juhul Drop asemel Reject, siis saadetakse karbile X ka vastuseks RST, mitte ei visata paketti lihtsalt ära ja karp ei jää vastust ootama ning algatatud sessioon lôpetatakse korrektselt ära, mitte ei jää rippuma ning timeouti ootama.
Drop on IMHO môistlik kasutada vaid WAN to LAN ruulide puhul.
_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
| Kommentaarid: 228 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
194 |
|
| tagasi üles |
|
|
Maldur
HV veteran
liitunud: 02.02.2007
|
|
08.11.2015 14:31:52
|
|
|
| Kui on kindel et karp X kasutaja ei hakka midagi ette võtma netti pääsemise nimel, siis lihtsaim viis on anda seadmele staatiline IP ning GW anda selline kus tegelikult väljapääsu pole. Tulemuseks toimib sisevõrk ja kui karp X üritab pääseda välisvõrku siis see ei õnnestu.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
09.11.2015 22:39:25
|
|
|
| Maldur kirjutas: |
| Kui on kindel et karp X kasutaja ei hakka midagi ette võtma netti pääsemise nimel, siis lihtsaim viis on anda seadmele staatiline IP ning GW anda selline kus tegelikult väljapääsu pole. Tulemuseks toimib sisevõrk ja kui karp X üritab pääseda välisvõrku siis see ei õnnestu. |
Just, milleks mingit raketti ehitada. Jätad "karp X" default GW üldse määramata ja ongi olemas.
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
|
09.11.2015 22:50:52
|
|
|
| OFFF kirjutas: |
| Just, milleks mingit raketti ehitada. Jätad "karp X" default GW üldse määramata ja ongi olemas. |
Üks lihtne iptablesi ruul on rakett... 
_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
| Kommentaarid: 228 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
194 |
|
| tagasi üles |
|
|
Maldur
HV veteran
liitunud: 02.02.2007
|
|
10.11.2015 00:29:06
|
|
|
| Ma arvan et küsimus pole ruuli raketis vaid selles et kui ruuli vajab konkreetne seade, siis on lihtsam ja lollikindlam korralda see "ruul" sinna seadmesse. Koos seadme lahkumisega kaob ka ruul võrgust. GW aga määramata ei saa igakord jäta, sest mõnigi seade ei lase kinnitada võrgupordi sätteid juhul kui sealt on midagi lihtsalt puudu. Kui aga GW on küll olemas aga lihtsalt väljamõeldud väravasse suunatud, siis sätete kinnitamine reeglina õnnestub.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
12.11.2015 10:15:38
|
|
|
| Maldur kirjutas: |
| Ma arvan et küsimus pole ruuli raketis vaid selles et kui ruuli vajab konkreetne seade, siis on lihtsam ja lollikindlam korralda see "ruul" sinna seadmesse. Koos seadme lahkumisega kaob ka ruul võrgust. GW aga määramata ei saa igakord jäta, sest mõnigi seade ei lase kinnitada võrgupordi sätteid juhul kui sealt on midagi lihtsalt puudu. Kui aga GW on küll olemas aga lihtsalt väljamõeldud väravasse suunatud, siis sätete kinnitamine reeglina õnnestub. |
Jah, kui mõni töllakas arendaja on liidese nii idiootlikult disaininud, siis on tõesti kehvasti. Ja ega siin head lahendust ei olegi.
Kui panna olematu vaikelüüs, siis tekib võrgu peale broacast läbu, kast karjub endal hinge seest välja WHO is XXX tell me.
Kui panna sinna mõne sellise seadme IP, mis vastab, siis tekib ikkagi läbu, sest selle liidese peal peab hakkama discardima neid pakette, mida tegelinski järjekindlalt "vaikelüüsi" suunas saadab. Sama probleem tekib ka marsruuteris keelava reegliga (mõistlikum oleks siinkohas panna REJECT, mitte DROP) vähem läbu.
Kui tõesti ei saa üldse vaikelüüsi määramata jätta, siis võib proovida ka otse kommutaatoris ACLiga pöördumised ära keelata. Esiteks ei jõua need siis sisenevast pordist kaugemale ja teiseks tegeleb sisenevate pakettide filtreerimisega päris kommutaatoris ASIC, seega on koormus kõige väiksem.
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
TGEgL
HV vaatleja
liitunud: 14.12.2013
|
|
12.11.2015 18:09:25
|
|
|
See läks nüüd vuhinal üle minu pea. 
Kas sa saaks selle transleerida DG301A UI'le vastavaks?
_________________
Kõik roheine vajab CO2 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
13.11.2015 12:43:58
|
|
|
| TGEgL kirjutas: |
See läks nüüd vuhinal üle minu pea.
Kas sa saaks selle transleerida DG301A UI'le vastavaks? |
Sulle ju soovitati. Jäta see DG üldse rahule ja proovi kas see "karp X" (ma saan aru, et tegu on mitte arvuti vaid mingi muu seadmega) saab seadistada nii, et jätad määramata vaikelüüsi (default gateway) või siis paned sinna vaikelüüsiks mingi suvalise sama alamvõrgu IP (mitte marsruuteri oma).
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
