Маршрутизатор D-link 804hv. Нужна помощь настройки firewall , Необходимо настроить фаервол между двумя подсетками

[Gonarh]

Цитата

Subnet mask поставь 255.255.255.255

Цитата

мне хотелось понять мой D-Link 804hv поддерживает такую возможность.
А именно: у меня есть своя внутренняя сеть (со своей адресацией), в которой один комп будет иметь доступ к внешней сети (это я планирую прописать в правилах).
и есть внешняя сеть, так же со своей адресацией, в ней тоже выделен один компьютер для соединения с моей сетью (так скажем, передачи данных).

Если из внешней сети нужен доступ ТОЛЬКО к одному ПК внутренней сети, то есть один вариант с NAT, если быть точным - PAT:
1.1 Внутренняя сеть 192.168.0.0/24 (255.255.255.0), настройки на блинке LAN 192.168.0.1/24, dhcp включить
1.2 Внешняя сеть 192.168.1.0/24 (255.255.255.0), настройки на блинке WAN 192.168.1.1/24, шлюз указывать не нужно.
1.3 В внутренней сети на компе к которому нужен доступ сделать адрес статичным, вне диапазона выдаваемого dhcp серваком блинка, например если в dhcp выдавать адреса с 192.168.0.2 по 192.168.0.200, то адрес компа должен быть с 192.168.0.201 и больше. Зачем это? Чтобы не делать статическую лизу в dhcp серваке и не привязывться к маку компа.
1.4 Включить DMZ на роутере и настроить его на ip компа внутренней сети куда нужен доступ с внешней сети, в нашем случае это 192.168.0.201

Всё вышесказанное имеет место быть, если нужен доступ только к одному компу во внутренней сетке, если потребуется доступ к нескольким, NAT не поможет, покупай самый дешовый полноценный маршрутизатор типа mikrotik 750 etc. И настраивай машрутизацию.
Всё, всякие тисипи, ицмп, нафих не нужны. Не морочь голову ни себе ни людям.

Добавлено 16.02.16, 16:27
Да и еще забыл, доступ из внешней сети на внутренний комп будет не на ip 192.168.0.201 который у него на интерфейсе прописан, а 192.168.1.1 - адрес wan интерфейса. Почему так - кури маны по PAT

[^D^ima]

Цитата Gonarh @ 16.02.16, 16:24

Прокомментируй.

[Gonarh]

Маска подсети /32 это фактически адрес хоста, машрутизации не будет, это годно только для p-t-p соединений, не более.

[Akina]

Gonarh
Ну не совсем так... с такой маской МАРШРУТА получается маршрут к определённому узлу через строго заданный шлюз. Вещь вполне легитимная - например, в случае VPN-транков.
А вот такая маска в адресе узла - да, только для соединений точка-точка. При этом и на другом конце соединения - тот же самый адрес с той же маской.

[^D^ima]

Цитата Gonarh @ 17.02.16, 06:27

Маска подсети /32 это фактически адрес хоста, машрутизации не будет, это годно только для p-t-p соединений, не более.

Что и требуется в задании, читай внимательно

[Dinar]

Настроил, при отключение NAT пинги проходят в обе стороны (с ноута на комп и обратно), при включение NAT, доступ остается только к внешней сети (для меня это ноут). Еще остаются вопросы с правилами доступа, добавляю правила он все равно пропускает пакеты

[Akina]

Цитата Dinar @ 17.02.16, 07:36

при отключение NAT пинги проходят в обе стороны (с ноута на комп и обратно)

Правильно, роутер переходит в режим обычного маршрутизатора.

Цитата Dinar @ 17.02.16, 07:36

при включение NAT, доступ остается только к внешней сети

Правильно, NAT имеет "одностороннюю" проходимость. В обратном направлении - только через маскарад либо вывод внутреннего узла в DMZ.

[Dinar]

Всем спасибо! Работает.

[Gonarh]

Цитата Akina @ 17.02.16, 06:48

с такой маской МАРШРУТА

Ааа, mea culpa, думал это маска на интерфейсе.

Сообщения были разделены в тему "Spam"