alexeykash

Инструкция на экраны DFL

176 сообщений в этой теме

Качаем здесь

Это единственная русскоязычная инструкция по DFL. Немного старовата, не без неточностей.
Остальные без перевода находятся на дисках к оборудованию

 

Также много полезного мануала по настройке есть в FTP каталоге D-Link.

 

 

DFL. Описания. Характеристики. Возможности.

DFL-2560 Межсетевой экран NetDefend с 10 настраиваемыми портами Gigabit Ethernet и 2 USB портами

DFL-1660 Межсетевой экран NetDefend с 6 настраиваемыми портами Gigabit Ethernet и 2 USB портами

DFL-860E NETDEFEND межсетевой экран для малого бизнеса

DFL-260E NETDEFEND межсетевой экран для малого бизнеса

 

 

Для первоначального входа применяем пароль и логин admin.

Пока ничего не установлено дополнительного, то все управление доступно на аглицком языке. Есть возможности руссификации, а главное, обновления прошивок.


Последние версии прошивок DFL-1660 берем Здесь


Последние версии прошивок DFL-860E берем Здесь


Руссификация всех версий NetdefendOS Здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-бы зайти на DFL в первый раз необходимо машине с которой это планируется делать присвоить следующие адреса:

IP 192.168.10.30
Mask 255.0.0.0
Gateway 192.168.10.1

Подсоединить эту машину физически или сделать так, чтобы от нее сигнал пришел на DFL:
Если у вас DFL-1660 то на порт LAN1
Если у вас DFL-860T от на любой из LAN.

Вход и работа с DFL осуществляется из интернет-браузера по протоколу https!!!

Открываем кому-что нравится и вписываем: https://192.168.10.1.

 

Как установить обновления и руссификацию:
на входном экране
eins.jpg

Выбираем "Maintenance"-"Upgrade"

А дальше загружаем и отправляем на устройство файлы обновления и руссификации. При обновлении руссификация слетает. Каждое обновление дополняет и изменяет предыдущее.

После всех ожиданий появится возможность выбора русского языка при входе, как на картинке в сообщении выше.

Рекомендую в самом начале выставить в разделе "Cистема"-"Время и дата" правильные значения, т.к. они будут отображаться в журнале, а он часто бывает нужен.

 

 

Настройка подключений и раздачи интернета на пользователей

*Сразу оговорюсь, что пока без ЗСПД. Только Инет и дла всех*

Я столкнулся с 2 видами провайдеров, и как следствие, с двумя видами подключений. Если у кого что-то другое, адаптируем.

Самый простой вид:

ТТК (статическая адресация и подключение):

в наличии от провайдера должно быть:

IP адрес компьютера
Netmask компьютера
Gateway провайдера (причем для разных объектов он может быть свой)
DNS 1
DNS 2 (может быть и один, для разных объектов DNS1 & DNS2 одинаковые)

Все адреса в DFL описываются в Адресной книге в разделе "Адреса интерфейсов". Всего в DFL 2 порта для подключения оборудования провайдеров (хотя это и неправда, любой порт можно использовать, если правильно настроить). При входе в адрессную книгу интерфейсов отобразится что-то похожее:
zwei.jpg
Звездочка в имени означает, что данный порт автонастраиваемый и получает значения от провайдера. Чаще всего при первом включении порт WAN1 динамический, порт WAN 2 статический с завода. Это для DFL-860E. Для DFL-1660 наоборот. По крайней мере у меня так было.

Самый простой вариант - берем сетевой кабель от оборудования провайдера и кидаем его на тот WAN-порт, который с завода настроен статически.
Вводим свои адреса:
wan1_ip
wan1_net
wan1_gw
wan1_dns1
wan1_dns2
Порядок тот же, что и выше.

Немного слов о нумерации:
  Все порты имеют свой уникальный IP адрес, который назначаете вы сами, и который, для других компов станет адресом шлюза соединения. Для оборудования далее или для внутренней маршрутизации по умолчанию, этот адрес и будет являться адресом отправителя пакетов (т.е. отправителем пакетов для шлюза провайдера будет не локальная машина в сети, а именно этот адрес интерфейса).
  Все что касается вещей в интерфейсах с *_net. Это есть указание интерфейсу с какой сетью работать. Т.е. адрес интерфейса одно, а с какой сетью он работает, это другое. Поэтому здесь вводится не привычный набор 255.255.255.0, а, например 192.168.1.0/24 для работы с подсетью 192.168.1.0-192.168.1.255. Тоже верно и для провайдеровских настроек. Т.е. если вам дали адрес IP 217.25.25.25 с маской 255.255.255.0, то и указывать надо 217.25.25.0/24, либо 217.25.25.0-217.25.25.255, либо 217.25.25.0
Остальное заполнение не думаю, что доставит сложности.
Собственно Это все по внесению настроек статики.
Далее эти настройки надо активировать. DFL машинка умная и не позволит сделать так, что соединиться с ней для управления станет невозможно. Поэтому все изменения активируются и подтверждаются следующим входом администратора в систему после активации.

Для активации надо:
В меню "Конфигурации" выбрать "Сохранить и активировать"
Потом подтвердить, что вносятся изменения и после N-секундного ожидания экран должен переподключится сам. Это в случае, если изменения не затрагивали адресацию управляющего интерфейса. Случаи смены этой адресации, если надо, выложу позднее.

После активации инет должен появиться в DFL-860E на всех портах LAN (смотрите и настраивайте рабочие машины GW д.б. адрес интерфейса LAN, на машинах должны быть прописаны правильные DNS. Это в случае, если у вас на DFL не включен DHCP на внутреннюю сеть). В DFL-1660 инет появится только на LAN1.


***********************************
Совсем забылось про настройки интерфейсов. Физических. Ладно, адресную книгу прописали. Теперь надо, чтоб это все правильно разрулилось по портам.
Необходимо указать интерфейсам с какими адресами работать.
Сделать это можно их "Интерфейсы"-"Ethernet"
Выйдет что-то подобное:
drei.jpg

Для статической адресации провайдера DHCP-клиент должен быть отключен.

Все настройки должны сохраняться и активироваться.
Особо остановлюсь на вкладке "Расширенные"
fir.jpg

Если вы пока не настраиваете failover или совместный доступ к ЗСПД, то лучше галоски оставитть на месте. Иначе - прописывайте в Main все маршруты.
Про метрику: если у вас 2 подключения провайдеров, то надо выбирать, каким вы будете пользоваться. Рабочий маршрут должен быть ОДИН. Тот интерфейс\маршрут, имеющий наименьшую метрику, и будет использоваться.

 

Ростелеком (динамическая адресация и подключение по PPPoE):

в наличии от провайдера должно быть:

Логин подключения
Пароль подключения

Оба этих явления могут объединятся на одной карте Ростелекома.
Создается соединение с белым IP, который комп и должен получить, вместе со шлюзом и ДНС.

Настройку в этом случае надо начинать именно с вышеописанных настроек физических интерфейсов в "Интерфейсы"-"Ethernet".
В принципе, адресную книгу в отношении такого интерфейса можно и не заполнять. Главное, включить DHCP-клиент для нужного интерфейса. См. картинку выше. На этом настройка интерфейса будет закончена (галочки маршрутов и метрику также можно оставить как есть).

Теперь надо настроить подключение PPPoE.
Делаем это в "Интерфейсы"-"PPPoE"
В моем случае это интерфейс wan2. Дальше, вроде все понятно.
funf.jpg


!!!!!Внимание. При таком соединении шлюзом для LAN как в интерфейсах, так и в правилах должно быть это соединение, а не порт WAN!!!!!

Ну а дальше сохраняем и активируем.
Вроде все, про первоначальные настройки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По совмещению ЗСПД и Интернета на рабочих местах

 

Вводная.
Существует в ЛПУ сеть 192.168.50.3-192.168.50.254 со шлюзом 192.168.50.1, через который они в инет ходят.
Есть криптошлюз у которого внешний сетевой интерфейс (для выхода в инет) имеет адрес 192.168.50.2 и который также как обычный комп ходит в инет через шлюз 192.168.50.1.
Второй сетевой интерфейс с адресом 192.0.1.2 смотрит во внутреннюю сеть через общий коммутатор и воспринимает компы с адресами 192.0.1.50-192.0.1.250 (выделенный ЛПУ пул)
надо чтобы было. И инет и ЗСПД.

Первый вариант. Переадресовать компы на адреса из пула и каждый раз задавать свои адреса шлюзов в ручную. Либо прописать маршрут на каждой локальной станции так, чтобы ЗСПД попадали на шлюз крипты 192.0.1.2, остальные пакеты по дефолту идут на шлюз инета (который также надо переадресовать под адресацию пула нр:192.0.1.1).
В этом случае добавлять и настраивать маршруты необходимо на каждой станции, также изменять адреса на шлюзе инета. Плюсом получаете, что у вас компы находятся в адресах пула, а также, если у вас работающая годы сеть, большой геморрой с программами, пользователями и вообще живете на работе.

Второй вариант. Ввести компы в ЗСПД, а пользователи пусть сами разбираются, как и где они Инет для работы возьмут.

Третий вариант. ДФЛ.
Возьмем к примеру DFL860E. Остальные по аналогии. Придется на нем задействовать еще 1 порт (на этой модели DMZ), через который и будут отправляться пакеты с ЗСПД на криптошлюз, а уж с него, по внешнему интерфейсу закапсулированный пакет в инет.
Сначала создадим адреса в адресной книге.
Сначала зспд. Создаем отдельные IP4-адреса в адрессной книге (я брал сети 10.0.0.0/8; 11.0.0.0/8; 12.0.0.0/8; 13.0.0.0/8;192.168.101.0/24). А потом создаем из них группу адресов и обзываем ZSPDnet.
Там же, но в адресах интерфейсов создаем IP4-адрес криптошлюза 192.0.1.2 и обзываем kripta
Задаем адреса интерфейса DMZ_IP 192.0.1.51 DMZ_net 192.0.1.0/24
В свойствах интерфейсов (Интерфейсы-Ethernet-DMZ) выставляем шлюзом для интерфейса DMZ krypta
Ставим галочку "Включить прозрачный режим".
На вкладке "Расширенные" снимаем галочки об автоматическом создании маршрутов. С созданием интерфейсов закончено.
В таблице маршрутизации main добавляем новый маршрут. Интерфейс DMZ, сеть ZSPDnet, шлюз krypta. Метрику ставим 90. Готово. Далее в таблице ставим данный маршрут выше маршрута коммутатор по интерфейсу DMZ. С маршрутами все.
В принципе, если это все активировать и компы у вас находятся в пуле адресов МИАЦ для ЛПУ, то и инет и ЗСПД автоматически появятся на АРМ.

Если же надо интегрировать уже работающую сеть, то необходимо динамически присвоить компам из сети адреса из пула при прохождении пакетов ЗСПД через интерфейс DMZ. Это возможно, и даже закрепить выданный адрес за конкретной машиной навсегда.

Начинаем опять с адресной книги. Создаем разрешенный пул адресов (pul) для выдачи IP4-адрес 192.0.1.52-192.0.1.250
В "Объекты"-"Пул NAT-адресов" создаем новый пул zspdpul: тип пула "Фиксированный" (хочется последить за людьми), "Использовать диапазон IP"-ставим из адресной книги pul. Далее на вкладке "Proxy ARP" добавляем DMZ в правую колонку, чтобы адресация работала именно на этом интерфейсе.
Создаем правило в "Правила"-"IP правила"-"lan_nj_wan1".
Обзываем нр: ZSPD, действие "NAT", сервис "все TCPUDPICMP", интерфейс источника "Lan", сеть источника "Lannet", интерфейс назначения "DMZ", сеть назначения "ZSPDnet". Открываем здесь же вкладку "NAT" и вместо использования интерфейса выбираем "Использовать NAT-пул", где и ставим ранее созданный zspdpul.
Не забываем сохранять и активировать
Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кому пригодится:

 

DFL блокирует исходящий VPN

После установки DFL  перестала работать бухгалтерская УРМ, vpn соединение блокировалось.

Идём в "LAN_to_WAN"

Создаём новое правило

Выбираем сервисом "gre_encap" - он изначально был, если нет, то создаём "IP Protocol service" с 47 портом

 

Блокируем соцсети

Создаём новый "ALG"

Добавляем в "Blacklist" *.odnoklassniki.ru/*

Создаём новый сервис, к нему цепляем созданный "ALG"

Создаём новое правило, к нему цепляем созданный сервис

Доступ блочится у всех.

 

Если нужно сделать так, чтобы у избранных людей ничего не блокировалось:

В адресной книге создаём новый "IP4Address" c необходимым ренжем. Если раздачей занимается DHCP,  задаём тот же диапазон адресов что и в пуле. Если статика - проще наверное забить большую часть подсети, и оставить два три десятка свободных адресов.

В правилах "Source network" указываем созданный нами диапазон.

Теперь можно выдать нужным людям статику не входящую в наш DHCP пул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про интернет и зспд

не прочел, что сверху(много слов)

 

в 12ой и 6 диб делал через dhcp Custom Options

1 DHCPServerCustomOption_16.png 33 IP4LIST

192.168.101.102,192.x.1.2,192.168.101.102,192.x.1.2

 

gw 192.x.1.1 -дфл в одной больнице, в другой прокси.

1.2 шлюз.

       

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

НЕ РУСИФИЦИРУЙТЕ и не настраивайте в режиме русского языка - глючит жестко....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда тоже добавлю. Если хотите пользоваться туннелями, ключами шифрования данных, ARP, фильтрацией траффика по домену или пользователю и есть косвенные др. мелкие проблемы... То не только не ставить руссификацию, но и прошивку качать не ru, а en. Скоро постараюсь внести корректировку в мануал. Проблемы в основном проявляются от 1660 и выше, на 860 заметил проблему только с шифрованием.

Антон, большой респект, что поправил, действительно, пришла пора делать выводы из ошибок длинка...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть ли возможность настроить DNS Relay для работы с двумя (а лучше с тремя) dns, чтоб в случае если один не отвечает переключался на другой по приоритету. Для блокировки соц. сетей и других сайтов использую rejector.ru, у них иногда перестает работать один или оба сервера и приходится быстро менять на днс провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для блокировки есть внутренние решения, релей вроде по умолчанию. Я бы сделал блокировку по контенту

ФриГейт еще никто не отменял..... 

 

Опять же, какая цель, экономия канала, экономия рабочего времени, богоподобность для сотрудников...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какое отношение это имеет к дфл? Дфл даже от прова по dhcp получает 2 адреса серверов днс именно провайдера. А далее вы сами устанавливаете. Если внутри dhcp, какие днс сервера транслировать на машины внутренней сети. Да ставьте любые другие и все, только в адресной книге их адреса пропишите. А если машины в сети на статике, то прописывайте в каждой из них что душе угодно...

А вот остальные программные средства к теме не относятся. Выносите их обсуждение в отдельные темы. Спасибо за понимание.

Ps. Хочу режим Бога по нажатии кнопки на компе пользователя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно кнопка активации режима Бога (или около) у админов расположена чуть ниже спины, и активируется обувью руководства, путем нанесения пинающего (-их) движения (-ий).

Только вот не всегда есть объективная возможность перехода в режим: то крылья не вырастают, то костыли не режутся

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому домен необходим ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделюсь граблями, на которые вчера наступил и топтался около часа.

 

Через DFL-860E не работает FTP. Листинг каталога и всё, ни один файл не ползёт.

 

Проблема кроется в встроенном антивирусе. Идём в Objects - ALG with AV/WCF - ftp-passthrough-av и на последней закладке выключаем антивирус.

 

Или, как вариант, есть правило ftp-passthrough-av в Rules, можно сделать Disable там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделюсь граблями, на которые вчера наступил и топтался около часа.

 

Через DFL-860E не работает FTP. Листинг каталога и всё, ни один файл не ползёт.

 

Проблема кроется в встроенном антивирусе. Идём в Objects - ALG with AV/WCF - ftp-passthrough-av и на последней закладке выключаем антивирус.

 

Или, как вариант, есть правило ftp-passthrough-av в Rules, можно сделать Disable там.

ах все таки антивирь блочит. а я пропуск всех пакетов делал в правилах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ах все таки антивирь блочит. а я пропуск всех пакетов делал в правилах

 

Я вчера всю ненормативную лексику собрал, которую знал, причем два раза... Первый, пока пытался понять, что у меня блокирует, второй - когда до меня дошло.  :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давненько, давненько...

 

Для всех интересующихся:

Д-линк Россия, по им одним ясным причинам, не выкладывает на своем сайте новые прошивки к DFL.

Последняя прошивка на сайте Длинка в России 2.27.06.10

Но на сайте тайваньского типа лежат в том числе и новые прошивки.

Т.к. в прошивках для сегмента RU, были зарезаны многие функции, то 2.27.06.10 стала последней русской прошивкой. Все остальные делаются на аглицком языке (как и инструкции).

Список изменений в версиях: DFL-260E_860E_1660_2560_2560G_Release_Notes_for_FW_v2 60 02.pdf

 

Стоит отметить, что в возможностях последней прошивки, появилась возможность блокировки HTTPS post-9-0-29584500-1412148554_thumb.jpg

Единственно, блокировка данного протокола, происходит без выдачи отбивки на экране пользователя - просто недоступность соединения.

Последняя прошивка 2.60.02 содержит другой интерфейс post-9-0-09197600-1412149290_thumb.jpg

и операционная система DFL ни что иное, как от железки компании Clavister, и является портом их операционки Clavister CorePlus на Dlink DFL (а еще лучше найти отличия d-link DFL-860E от Clavister Security Gateway 60 Series).

 

Инструкция на последнюю прошивку: NetDefendOS_2_60_02_Firewall_UserManual.pdf

 

Новые прошивки очень не любят руссификацию от старой, да и вообще не нужна она. Удаляется через консоль или SSH, а не через WEB-интерфейс (putty и com кабель от DFL в помощь). Команда: languagefile.

А уже после и накатывать прошивку.

Последняя прошивка со старым интерфейсом: 2.40.04.8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

До

 

Давненько, давненько...

 

Для всех интересующихся:

Д-линк Россия, по им одним ясным причинам, не выкладывает на своем сайте новые прошивки к DFL.

Последняя прошивка на сайте Длинка в России 2.27.06.10

Но на сайте тайваньского типа лежат в том числе и новые прошивки.

Т.к. в прошивках для сегмента RU, были зарезаны многие функции, то 2.27.06.10 стала последней русской прошивкой. Все остальные делаются на аглицком языке (как и инструкции).

Список изменений в версиях: attachicon.gifDFL-260E_860E_1660_2560_2560G_Release_Notes_for_FW_v2 60 02.pdf

 

Стоит отметить, что в возможностях последней прошивки, появилась возможность блокировки HTTPS attachicon.gifdfl260_2.jpg

Единственно, блокировка данного протокола, происходит без выдачи отбивки на экране пользователя - просто недоступность соединения.

Последняя прошивка 2.60.02 содержит другой интерфейс attachicon.gifdfl260_1.jpg

и операционная система DFL ни что иное, как от железки компании Clavister, и является портом их операционки Clavister CorePlus на Dlink DFL (а еще лучше найти отличия d-link DFL-860E от Clavister Security Gateway 60 Series).

 

Инструкция на последнюю прошивку: attachicon.gifNetDefendOS_2_60_02_Firewall_UserManual.pdf

 

Новые прошивки очень не любят руссификацию от старой, да и вообще не нужна она. Удаляется через консоль, а не через WEB-интерфейс (putty и com кабель от DFL в помощь). Команда: languagefile.

А уже после и накатывать прошивку.

Последняя прошивка со старым интерфейсом: 2.40.04.8

Сорри за оффтоп, но можете подробнее пожалуйста про удаление языкового файла? в хелпе команда remove=<String>, если ввожу

languagefiles -remove=Russian и тд. (все перепробовал) то в ответ  - Not a resource file name. Хз как удалить файл русификации((

Помогите пожалуйста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На команду languagefiles без ключей, следует отзыв в виде списка установленных языковых пакетов. Именно это название после знака "=" следует ввести. Точнее смогу сказать в обед в понедельник

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для удаления вводится languagefiles -remove=LNG-RU.RC

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внесу свою лепту, случайно наткнулся, у меня стоит такой помощник, может и другим будет интересно

 folder_edit.png http://www.intuit.ru...6/lecture/24235

Лабораторная работа 1: Основы администрирования межсетевого экрана D-Link DFL-860E  http://www.intuit.ru...14250/1286/info

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И вообще ресурс INTUIT помогает мне по многим моментам (практически реклама :-) ) с начала 2000-х годов. Обосновать перед руководством что-то, все доступно как на лекцию сходил (со временем учебная программа забывается) , да еще и бесплатно ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Помогите разобраться, пожалуйста:

DFL-860E может авторизовывать пользователей по MAC адресам? 

Раньше не могла, но вот в последней прошивке для RU сектора (DFL-860E A1 FW v2.27.08.04(for RU)обнаружил вот такое в описании изменений:

 Added the DHCP server when used with MAC address authentication to
enable automatic logout of users. When an IP address is being reused from the
DHCP server and the old user was logged in via MAC authentication, the DHCP
server sends a logout message to log out the old user from the system.
 
Гугол перевод такой:
Добавлена DHCP сервер при использовании аутентификации адреса MAC для
включить автоматический выход пользователей. Когда IP адрес повторно использовать
DHCP-сервер и старый пользователь вошел в систему с помощью проверки подлинности MAC, DHCP
сервер отправляет сообщение выхода из системы необходимо войти старую пользователя из системы.
 
Если такое возможно, то как или хотя бы где смотреть это в настройках, я обновился до этой версии прошивки но визуально ничего не заметил в настройках нового. Авторизация так и осталась черех http/ldap/radius.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А авторизация для каких целей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет, помогите разобраться, есть DFL-1660 нужно настроить что бы через него раздавалась ЗСПДН, но судя по тому что я увидел на веб интерфейсе, мозгов походу не хватит, не могли бы пошагово расписать что, где и как  нужно настраивать ((( 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас