UBLink技術團隊討論區

裕笠科技(中),遠豐科技(北),鉅創科技(南)
http://ns2.ublink.org/phpbb/

V3300 IP Filter table 問題

http://ns2.ublink.org/phpbb/viewtopic.php?f=1&t=1717

1 頁 (共 1 頁)

V3300 IP Filter table 問題

文章發表於 : 週二 11月 27日, 2007年 8:20 am
louis
大家好

小弟一直在嘗試設定V3300 的ip filter table 但一直出現問題

情況是這樣的 小弟想把在DMZ 其中一台電腦 192.168.0.100 只開放 port 53, 22 到 LAN 上 192.168.43/24 其如的都檔掉

所以方向是 DMZ to LAN, 首先 Pass group 是

192.168.0.100 255.255.255.255 53 192.168.43.0 255.255.255.0 53 TCP/UDP DMZ to LAN Pass immediately
192.168.0.100 255.255.255.255 22 192.168.43.6 255.255.255.0 22 TCP/UDP DMZ to LAN Pass immediately

之後Pass 的Next group 是 Block 就把其他的DMZ to LAN 檔掉
192.168.0.100 255.255.255.255 192.168.43.0 255.255.255.0 any protocol DMZ to LAN Block immediately

可是 如果這樣做的話 port 53 和 22 就一起被檔掉, 試過全放在同一個group 也不成 其他方法如

firewall_ip_filter_6=192.168.0.100,255.255.255.255,192.168.43.0,255.255.255.0,4,23,52,4,23,52,Block,none,3,0,4,0,1
firewall_ip_filter_7=192.168.0.100,255.255.255.255,192.168.43.0,255.255.255.0,4,54,1722,4,54,1722,Block,none,3,0,4,0,1


就是只用 block 去檔 1 - 21 , 23 -52 和 > 54 port 也不成


所以希望高手指點一下 還是 3300 在 DMZ to LAN 的是有問題的呢?

感恩

文章發表於 : 週二 11月 27日, 2007年 8:22 am
門神
在Vigor的設備上DMZ一般是不受Policy管控 !!!

我們查查再告訴您 !!

文章發表於 : 週二 11月 27日, 2007年 9:39 am
louis
但是如果只用這例的話 除了53 可以外 其他port都會正常地檔掉 很怪的話說

192.168.0.100 255.255.255.255 !=53 192.168.43.6 255.255.255.0 !=53 TCP/UDP DMZ to LAN Block immediately

還有的是 在ip filter 中是可以撰擇 DMZ to LAN , DMZ to WAN 等等方向的 應該不會不能用吧 :cry:

文章發表於 : 週二 11月 27日, 2007年 9:50 am
門神
^^

3300系列有他的規則

我們找到正確做法再跟您說

但是您下

192.168.0.100 255.255.255.255 !=53 192.168.43.6 255.255.255.0 !=53 TCP/UDP DMZ to LAN Block immediately

這樣是代表53 192.168.43.0~255的53 Port全封鎖喔 !!

文章發表於 : 週二 11月 27日, 2007年 10:19 am
louis
不不不

我下的是 !=53 不是53 才封鎖

文章發表於 : 週二 11月 27日, 2007年 10:29 am
門神
^^



You right!!

文章發表於 : 週五 11月 30日, 2007年 5:17 pm
門神
抱歉這麼晚回覆您。
我們測試了firmware 2.5.7.4的NAT mode DMZ沒有遇到這樣的問題。
設定如下:
dmz 192.168.1.0/24
lan 192.168.33.0/24
group 1:
filter 1 source 192.168.1.101/24 >destination 192.168.33.10/24 destination tcp port 7000 pass immediately.
filter 2 source 192.168.1.101/24 >destination 192.168.33.10/24 destination any block immediately.

請客戶確認設定是否正確,如果依然不能工作,請您讓我們遠端登入該vigor檢查設定。
謝謝您 : )

感謝您對居易產品的支持,如果您有任何的疑問或建議,我們竭誠歡迎您的來信洽詢。

技 術 服 務 部
居 易 科 技 股 份 有 限 公 司
E-Mail: support@draytek.com
常見問題與解答: www.draytek.com.tw/support/faq/index.php

文章發表於 : 週二 12月 4日, 2007年 7:48 am
louis
感謝 門神
我找到了解決方法

問題在於source port. 先前填了不能正常運作 反而只填destinate port 就可以了
Pass group
192.168.0.100 255.255.255.255 192.168.43.6 255.255.255.255 53 TCP/UDP DMZ to LAN Pass immediately
192.168.0.100 255.255.255.255 192.168.43.6 255.255.255.255 22 TCP/UDP DMZ to LAN Pass immediately

Next group block
192.168.0.100 255.255.255.255 192.168.43.0 255.255.255.0 TCP/UDP DMZ to LAN Block immediately

文章發表於 : 週二 12月 4日, 2007年 7:57 am
門神
恭喜您 !!

新版本Support Data Flow Monitor

V2.5.8以後版本

viewtopic.php?t=1731
所有顯示的時間為 UTC + 8 小時
1 頁 (共 1 頁)
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/