Маршрутизаторы D-Link DIR-300

Статус
В этой теме нельзя размещать новые ответы.
В инструкции по настройке СразуИнтернет написано, что один из компов нужно поместить в DMZ. Это обязательно? Если да, то как этот комп выбрать?
 

Vlady

Ословед
Немного не по теме. К дир300 - два компа кабелями. Как можно не сложно и наглядно с 1-го видеть на какие адреса идет трафик со 2-го? Например, на втором играют в КС, и чтобы можно было с 1-го посмотреть адрес сервера, на котором 2-ой играет.
 
Доброго времени суток. Такой вопрос появился. Купил прошлым летом роутер Dir-320, настроил и все работало хорошо. Было подключено 3 устройства по воздуху и один по кабелю. Сегодня приобрел Ipad 2 он не находит мою сеть, соседей ловит. Что это может быть и как это решить?! Заранее благодарен.
Может ли быть проблема в том что ipad2 поддерживает wi-fi 802.11a/b/g/n., а у роутера такого нету?
 

Vlady

Ословед
Доброго времени суток. Такой вопрос появился. Купил прошлым летом роутер Dir-320, настроил и все работало хорошо. Было подключено 3 устройства по воздуху и один по кабелю. Сегодня приобрел Ipad 2 он не находит мою сеть, соседей ловит. Что это может быть и как это решить?! Заранее благодарен.
Может ли быть проблема в том что ipad2 поддерживает wi-fi 802.11a/b/g/n., а у роутера такого нету?
А остальные по воздуху ловят? Если да - проверь настройки вай-фая в роутере и в айпаде. Мож ограничение на количество подкл устройств стоит.
Нет, такого быть не может.
 
dir300nruB5
настроил как в первом посте указано.
осел сначала работал сутки, потом не подключается:

23.03.2012 21:25:08: Предупреждение emule2.is74.ru (emule2.is74.ru:4661) - You have a lowid. Please review your network config and/or your settings.
23.03.2012 21:25:08: Невозможно установить входящее соединение! Пожалуйста, проверьте настройки вашего антивируса или брандмауэра.
23.03.2012 21:25:08: Не удалось соединиться ни с одним сервером из списка. Новая попытка соединиться.
23.03.2012 21:25:08: Автосоединение с сервером через 30 секунд

чо делать?
 

StudentRU

Ословед
А какой смысл выкладывать информацию из журнала ослика? Это все что угодно может значить, что какое-то ПО на компе блокирует доступ ему в сеть, что порты на роутере не правильно проброшены либо вообще не проброшены, что проброшены одни порты а в ослике указаны другие и так до бесконечности....
 

scissorshands

Ословед
Купил роутер D-link DIR-300NRU(b5) 3 недели назад, настроил интернет, Wi-Fi и осла(для ноута), по инструкциям с этой темы (и отсюда). Все отлично работало до сегодняшнего дня. Сейчас вообще ничего не работает через роутер. Настройки не сбросились.

В статусе увидел следующее:
attachment.php

attachment.php

attachment.php


Настройки IPoE и PPTP подключения:
attachment.php



attachment.php

При первой настройке, 3 недели назад, маршруты прописались самостоятельно. Сегодня, после возникшей проблемы, решил добавить сам, но первые 2 маршрута (78.29.0.0 - 255.255.0.0 - шлюз подсети, 10.0.0.0 - 255.0.0.0 - шлюз подсети) не прописываются(при нажатии на "сохранить" они просто не добавляются):

attachment.php

attachment.php
Сбрасывал настройки на базовые и настраивал заново, ничего не изменилось.

В общем решил проблему двумя способами:
1. Отключить в настройках IPoE (WAN) соединения автоматическое получение IP-адреса.
2. Включить RIP в настройках этого же IPoE (WAN) соединения, не отключая автоматическое получение IP-адреса.
 

    LeksB

    очки: 79
    Нет комментариев

    Дайтека

    очки: 288
    Нет комментариев

%username%

Ословед
Тоже проблемка возникла: купил и настроил уже больше месяца назад (ноут по вафле, стационар по витой паре), но ослом (на ноутбуке) активно не пользовался (качал что-то иногда, главное, что все работало). А сейчас заметил, что при скачке, когда скорость становится больше 5 мб/с, напрочь отваливается интернет. Т.е. пока качается в пределах 2-3 мб/с - все нормально, можно серфить параллельно, только разгоняется - инет перестает работать (хотя на ВГ заходит без проблем). И что странно, после завершения загрузки, какое-то время, при попытке выйти в инет, пишет, что "сайт нельзя открыть без соединения с интернетом"... А спустя несколько минут все нормализуется. Что в это время со стационарным компом происходит - не проверял. Подскажите, пожалуйста, в чем может быть проблема? И если нужно сделать скрины, то скажите каких пунктов меню? И да, тему не читал, каюсь. Если было, дайте ссылку, пожалуйста.
 

    LeksB

    очки: 79
    Нет комментариев

DeLit

Ословед
Можно просто в настройках осла поставить скорость меньше и проблема решена. Или не устраивает такое решение?
 

%username%

Ословед
Можно просто в настройках осла поставить скорость меньше и проблема решена. Или не устраивает такое решение?

Ага, тоже думал об этом. Видимо, придется так сделать. Тут скорей уже просто интересно, почему так происходит.
 

babayka

Ословед
Награды
5
Ага, тоже думал об этом. Видимо, придется так сделать. Тут скорей уже просто интересно, почему так происходит.
Сейчас специально на буке жены запустил ишака и поставил качать фильм - фильм качается, тырнет работает. Причём ишак, одновременно работает и на моём ПК и на буке жены. Настраивай роутер.
 

%username%

Ословед
Сейчас специально на буке жены запустил ишака и поставил качать фильм - фильм качается, тырнет работает. Причём ишак, одновременно работает и на моём ПК и на буке жены. Настраивай роутер.

Ну и у меня качается и инет работает, но до скорости 5 мб/с, потом инет отваливается. Что конкретно настраивать нужно, куда смотреть хотя бы?

Может, действительно не хватает железных ресурсов?
 

babayka

Ословед
Награды
5
Ну и у меня качается и инет работает, но до скорости 5 мб/с, потом инет отваливается. Что конкретно настраивать нужно, куда смотреть хотя бы?

Может, действительно не хватает железных ресурсов?
А какая модель роутера? Можно просто сохранить файл настройки и скинуть тебе. Естественно логин и пароль вставишь свои, а также и IP адреса. 
 

babayka

Ословед
Награды
5
Ну и у меня качается и инет работает, но до скорости 5 мб/с, потом инет отваливается. Что конкретно настраивать нужно, куда смотреть хотя бы?

Может, действительно не хватает железных ресурсов?
Для DIR-620
Межсетевой экран / DMZ
Настройка демилитаризованной зоны
Включено:
IP-адрес:
192.168.0.хх

Межсетевой экран / Виртуальные серверы
Список виртуальных серверов
 Здесь Вы можете добавлять, редактировать и удалять виртуальные сервера                                                   Имя    Интерфейс    Протокол    Внешний порт    Внутренний порт    Внутренний IP
Осёл        WAN            TCP              4661                   4661             192.168.0.хх
Осёл1       WAN            UDP              4672                   4672             192.168.0.хх
Осёл2       WAN            TCP              4662                   4662             192.168.0.хх
Осёл3       WAN            UDP              4673                   4673             192.168.0.хх

Остальные настройки по умолчанию (внутренней сети нет - не нужна). Внутренний IP можно узнать, нажав правой кнопкой по своему адаптеру-Состояние-Сведения-Адрес IPv4: 192.168.0.хх. 
 

babayka

Ословед
Награды
5
В рамках данной статьи мы поговорим о безопасности локальной сети. Особое внимание будет уделено вопросам защиты технического уровня и практическим рекомендациям по обеспечению безопасной LAN. Учитывая всеобьемлемость темы, я постараюсь заострить внимание читателя на следующих вопросах: какие уязвимости используются чаще всего и какие политики безопасности им можно противопоставить.

Безопасная архитектура — это фундамент
Итак, помимо централизованной политики безопасности, без которой de facto невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее:
1) Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и Telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.
2) Шифрование критичных данных с использованием надежных криптоалгоритмов.
3) Использование архитектуры, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя файрволлами.
4) Использование IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System) и NAT.
5) Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации.
DMZ. Проектирование демилитаризованной зоны
Не секрет, что системы, открытые для прямого доступа извне, являются главными целями злоумышленников. Для организаций, имеющих дело с критичной и конфиденциальной информацией, вопрос защиты периметра сети стоит особенно остро. Политика безопасности внешних систем (web-сервер, почтовый сервер и др.) требуют самой тщательной проработки, так как они подвержены нападению в первую очередь. Задача заключается в том, чтобы ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети, что реализуется посредством технологий, описанных мною ниже.
DMZ — сокращение от demilitarized zone (демилитаризованная зона) — подразумевает собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета. DMZ создается посредством реализации полузащищенной сетевой зоны, что достигается путем применения межсетевых экранов или маршрутизаторов со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ. Очевидно, что все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Следует учитывать и то, что, если система доступна через интерактивный сеанс (такой, как telnet или SSH), то открывается возможность проведения атак против других систем, находящихся в DMZ. В качестве модели рассмотрим следующую.
В данном случае наша сеть включает в себя два межсетевых экрана, отделяющих DMZ от внешней и внутренней сети. Внешняя сеть оказывается между маршрутизатором провайдера и первым межсетевым экраном, в то время как демилитаризованная зона размещается между межсетевыми экранами №1 и №2. В настройках межсетевого экрана №1 предусмотрено разрешение прохождения всего трафика DMZ, а также всего внутреннего трафика (за некоторым исключением). Межсетевой экран №2 сконфигурирован более жестко с учетом того, что разрешен только исходящий интернет-трафик. Подобная конфигурация значительно повышает общий уровень безопасности LAN. Нельзя не согласиться с тем, что использование и обслуживание пары межсетевых экранов повышает стоимость архитектуры и требует дополнительных усилий по управлению и настройке, но… оно того стоит.
IDS
IDS — система обнаружения вторжений. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Разновидностью IDS является IPS, возможности которой выходят за рамки простого обнаружения вторжений и дополняются возможностью превентивного противодействия. В настоящее время можно выделить, по крайней мере, два основных типа IDS:
. узловые (HIDS);
. и сетевые (NIDS).
Как правило, система HIDS размещается в узлах системы, отслеживая любую подозрительную активность, которую можно классифицировать как признаки атак на данный узел. HIDS представляют собой систему датчиков, загружаемых на различные серверы организации и управляемых центральным диспетчером. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик. Следует заметить, что система HIDS, как правило, стоит дороже, чем сетевая система, что объясняется тем, что каждый сервер должен иметь лицензию на датчик (датчики дешевле для одного сервера, однако общая стоимость датчиков больше по сравнению со стоимостью использования сетевых IDS). При использовании системы HIDS следует обратить внимание на то, что работа процесса датчика на сервере может занимать до 15% общего процессорного времени. При активно используемой системе подобная трата системных ресурсов может отрицательно сказаться на производительности, и, таким образом, не исключено, что вам придется приобретать более производительную систему. NIDS представляет собой программный комплекс, работающий на специально выделенной системе. Принцип функционирования NIDS чем-то схож с работой сетевого сниффера: NIDS переводит работу сетевой карты в системе в promiscuous mode (беспорядочный режим — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса). После получения пакетов происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес.
NAT
Еще одним инструментом, который мы применим при проектировании безопасной LAN, станет NAT.
NAT — это технология трансляции одного или нескольких адресов в другие адреса. В большинстве случаев функции NAT реализуются посредством межсетевого экрана (хорошим примером является Kerio Win Rout Firewall с гибкой системой настройки NAT). Маршрутизаторы также могут выполнять эту функцию. Очевидно, что функция безопасности NAT реализуется благодаря тому, что скрытые адреса внутренних систем являются невидимыми из внешней сети — в частности, из сети Интернет. Следует учитывать и тот факт, что для защиты от инсайдерских атак NAT бесполезна: если злоумышленник находится внутри организации или имеет прямой доступ к внутренней сети через VPN или телефонное соединение, то NAT и вовсе никак не сможет защитить сеть.
Необходимый минимум
1. При построении безопасной LAN следует минимизировать количество служб и сервисов, предоставляемых сетью, используемых клиентами из сети Интернет.
2. Архитектура LAN в обязательном порядке должна предусматривать наличие DMZ — демилитаризованной зоны, контролируемой межсетевым экраном.
3. Крайне желательно наличие NAT (система переадресации выполняет функцию сокрытия адресов внутренних систем).
4. Установка самых последних обновлений строго обязательна.
Даже если ваша система имеет самые последние обновления, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки «умные люди» успевают написать эксплоит или создать червя.
5. Разумеется, как на сервере, так и на рабочих станциях должно быть установлено антивирусное ПО со свежими базами.
6. Если у вас до сих пор файловая система FAT32, смените ее на NTFS. NTFS de facto более безопасна: она позволяет разграничить доступ к ресурсам вашего ПК и значительно усложнит процесс локального и сетевого взлома паролей базы SAM.
7. В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. «Службу доступа к файлам и принтерам сети Microsoft» необходимо отключить (касается машин, не предоставляющих SMS-доступ), чтобы не облегчать задачу всем любителям «дефолтовых» C$, D$, ADMIN$ и т.д.
8. Все неиспользуемые сервисы желательно выключить. Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов
9. Удалите лишние учетные записи (такие, как HelpAssistant и SUPPORT_388945a0), а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине.
10. Пользователя «Администратор» лучше переименовать (через оснастку gpedit.msc).
11. Открытые по умолчанию ресурсы C$, D$, ADMIN$ желательно отключить (созданием параметра DWORD по адресу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters):
12. В локальной сети не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать «общественным достоянием» (не секрет, что пароли таких сервисов, как FTP и Telnet, передаются по LAN в открытом виде). Используя сниффер (например, Cain&Abel), даже зашифрованные пароли легко взломать.
Выход — построение локальной сети не на хабах (сетевые пакеты, которые получает хаб, распределяются по всем адресам независимо от места назначения), а на свитчах (используется технология доставки пакетов «по адресу»). Применение свитчей значительно усложняет процесс перехвата сетевых паролей и делает злоумышленника «видимым» (перехват паролей возможен даже при использовании свитчей(!), но в этом случае машина злоумышленника вынуждена генерировать ARP-пакеты — технология ARP-poizoning), используя стандартный набор для антисниффинга.
13. Минимальная сеансовая безопасность должна подразумевать использование криптостойкого алгоритма — NTLMv2:
Использование NTLMv2-механизма вместо уязвимого LM или NT значительно повышает криптостойкость паролей (включается через оснастку «Локальные параметры безопасности») и снижает возможные риски, связанные с перехватом и расшифровкой хэшей. Перечисленные способы защиты/построения безопасной сети — отнюдь не панацея против всех, кто всерьез решил взломать вашу сеть. Соблюдение вышеперечисленного минимума значительно снижает вероятность взлома, делая вашу сеть более безопасной к внешним и внутренним угрозам.
100% защиты нет, к ней можно лишь приблизиться…
Я уже года четыре, если не больше, не знаю что такое вирусы и сетевые атаки. Ответ устраивает?
 
Как защитить локальную сеть?
DMZ - это, наоборот, ослабление защиты :) Для работы осла не требуется включать хост в DMZ. Нужно в настройках dhcp-сервера указать какой айпи будет выдаваться вашему компьютеру, затем для этого айпи сделать проброс 1-го tcp порта и 1-го udp (напр. 4663 и 4673 соответственно). Если используется тип доступа "VPN", то, возможно, потребуется прописать несколько статических маршрутов. DMZ в этом случае не нужен.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху