И все-таки - хотя бы вскользь почитайте про сети... Поверьте - тысячи Ваших вопросов самопропадут после этого...
Помогите настроить ограничение по IP
-
bst-botsman
- Сообщения: 219
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
-
Lemonez
- Сообщения: 16
- Зарегистрирован: 18 сен 2021, 23:03
Спасибо за совет. Перелопатил кучу инфы из инета, голова уже кругом от информации... А по делу есть что сказать или помочь настроить?bst-botsman писал(а): ↑15 дек 2024, 19:46И все-таки - хотя бы вскользь почитайте про сети... Поверьте - тысячи Ваших вопросов самопропадут после этого...
-
bst-botsman
- Сообщения: 219
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Так ведь Вам же уже несколько раз сказали - либо выносите NAS в отдельную сеть и тогда настраивайте доступ к нему на файрволле роутера, либо оставляйте его в той же сети и настраивайте файрволл на самом NAS (Вам кстати даже предлагали помочь с этим)...
Что еще Вы хотите услышать???
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
-
Lemonez
- Сообщения: 16
- Зарегистрирован: 18 сен 2021, 23:03
настраивайте файрволл на самом NAS - я бы с радостью так и сделал, но я не нашел фаервола в своем NAS (D-Link DNS-320). Если бы подсказали, как его туда поставить или как по другому настроить на NAS, я был бы рад. А пока решения нет...bst-botsman писал(а): ↑16 дек 2024, 07:49Так ведь Вам же уже несколько раз сказали - либо выносите NAS в отдельную сеть и тогда настраивайте доступ к нему на файрволле роутера, либо оставляйте его в той же сети и настраивайте файрволл на самом NAS (Вам кстати даже предлагали помочь с этим)...
Что еще Вы хотите услышать???
-
ivsatel
- Сообщения: 1
- Зарегистрирован: 04 янв 2020, 18:21
В прямом представлении "файервола" как такового на накопителе нет, но есть ограничение доступа по логину и паролю, страница 38.
https://ftp.dlink.ru/pub/NAS/DNS-320/De ... 20(WW).pdf
https://ftp.dlink.ru/pub/NAS/DNS-320/De ... 20(WW).pdf
-
Lemonez
- Сообщения: 16
- Зарегистрирован: 18 сен 2021, 23:03
Ну такой вариант не подойдет. Надо только по IP. Если вариантов с NAS больше нет, значит надо оставлять NAS около роутера и прописывать на роутере, но как и что прописать, для меня загадка...ivsatel писал(а): ↑16 дек 2024, 16:09 В прямом представлении "файервола" как такового на накопителе нет, но есть ограничение доступа по логину и паролю, страница 38.
https://ftp.dlink.ru/pub/NAS/DNS-320/De ... 20(WW).pdf
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Простите, что не ответил вовремя.
Я видел все ваши посты, у меня просто нет времени, а вечером уже и сил.
Но вот выдалась свободная минутка.
Итак,
1. Ваш NAS воткнут в микротик! И только так, по другому не получится.
2. Порт, который использует NAS добавлен в один бридж с портом downlink (портом, который идет в коммутатор для других потребителей).
3. Порты WiFi (если они есть у вас в микротике) тоже добавлены в этот же бридж.
4. IP адреса всех участников сети сделаны "make ststic". Ну или по крайней мере самого NAS и потребителей, которые должны будут иметь доступ к NAS. И вы эти IP знаете.
5. Все настройки выполняем через WinBox. И версия ROS достаточно свежая. У меня сейчас 7.12.1. Не уверен, что все это получится на более старых версиях, да и скрины совпадать с вашими экранами не будут. Поэтому, нужно обновиться.
Обязательно нужно убедится, что на порту Ether, который смотрит в сторону вашего NAS отключен Hardware Offload. Не буду сильно вдаваться в подробности. Тут много зависит от железа и текущего конфига, но нужно обязательно убедится, что эта опция отключена.
Для этого в Bridge-Ports щелкните нужный порт дважды и снимите галочку Hardware Offload
В случае оборудования топиксартера такой галочки может и быть.
6. Далее перейдите в раздел Bridge-Bridge Filters.
Далее для понимания сути процесса, включите в отдельном окне ping до вашего NAS.
Убедитесь, что пинг идет.
Начинается самое интересное:
Нажимаете на синий плюсик в WinBox.
Выбираете chain - forward (он там уже выбран).
Разверните поле MAC Protocol. Там автоматически выберется 800 (ip). Если автоматически не выбралось, выберите вручную.
Разверните поле IP, а затем Scr. Address. Там автоматически подставится 0.0.0.0/0 (то все IP адреса v4).
А в поле Dst. address впишите IP вашего NAS. В моем случае - 192.168.89.252.
Переходите на вкладку ACTION.
И в поле Action выбираете drop.
И нажимаете ОК.
Не буду ничего здесь писать про порядок правил. Не думаю, что у вас в этом разделе были какие-то правила.
А тем временем...
Обратите внимание, что счетчик правила в фаерволле растет.
Все, доступа к NAS нету.
Проверим, с другого компьютера в сети:
Доступа тоже нет.
7. Проверим, что доступа нет и по SMB. Попробуем в проводнике Windows открыть наш NAS как сетевой ресурс.
8. Теперь нужно разрешить некоторым компьютерам доступ к NAS.
Для этого щелкните дважды созданное запрещающее правило.
В открывшемся окне нажмите кнопку Copy. Winbox создаст копию правила.
Поправим его:
В поле Scr. address напишем адрес компа, которому "можно", а на вкладке Action выберем Action - accept.
В моем случае, ip адрес, которому "можно" 192.168.89.179.
Нажимаем ОК. Потом в окне редактирования запрещающего правила нажимаем Cancel.
И видим, что создалось новое разрешающее правило, и...
... убеждаемся, что доступа-то по прежнему нет.
Помните я писал, что очень важен порядок правил в фаерволле. Подцепите разрашающее правило мышью и перетяните его выше запрещающего правила. В итоге правила должны поменяться местами. И вот результат.
Добавим еще одни компьютер, которому разрешен доступ к NAS.
Щелкните дважды разрешающее правило, нажмите Copy. Во вновь созданном правиле поменяйте поле Scr. address.
Нажмите ОК. Потом, Cancel.
Убедитесь, что новое разрешающее правило находится в списке выше запрещающего.
И вот результат:
Проверим доступ по SMB:
9. Лирическое отступление
Нужно помнить, что наше запрещение доступа ограничено IP Internet V4 протоколом. Другие протоколы будут работать. Например, Multicast. Если необходимо, его тоже нужно ограничивать отдельно. Иными словами, то, что мы делаем, - это некий костыль, который хоть и работает, но имеет некоторые ограничения.
10. Ну вот и все! В целом, этого топикстартеру будет достаточно. Ну, а все остальные, более в сведущие коллеги, возможно, еще раз убедятся в том, что Микротик можно настраивать бесконечно!
