Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 54
Так я не понял, как ты сервис в DMZ засунул.
Сервис слушает несколько портов
tcp: 8001,31187,20113,20118
udp: 20113,20118
Все пакеты пришедшие на внешний ip отправляются этому сервису в dmz…
Что непонятного то? =)
Из локалки в DMZ можно только на
tcp 31187 и 3389
и
icmp
Из DMZ в локалку вообще нельзя
tcp: 8001,31187,20113,20118
udp: 20113,20118
Все пакеты пришедшие на внешний ip отправляются этому сервису в dmz…
Что непонятного то? =)
Из локалки в DMZ можно только на
tcp 31187 и 3389
и
icmp
Из DMZ в локалку вообще нельзя
А проброс портов внутрь не проще было сделать?
нет
Почему
Во первых, что ты понимаешь под пробросом портов?
Просто ставим перед w2k3 роутер с Linux и направляем нужный трафик?
Мне необходимо было именно «спрятать» w2k3 и этот сервис в DMZ для того чтобы если кто-то проникнет на этот сервер, то этот кто-то не мог бы попасть в локальную сеть.
Просто ставим перед w2k3 роутер с Linux и направляем нужный трафик?
Мне необходимо было именно «спрятать» w2k3 и этот сервис в DMZ для того чтобы если кто-то проникнет на этот сервер, то этот кто-то не мог бы попасть в локальную сеть.
Вот теперь понял, а то что ты написал в 1000 букв я могу сделать в гуях на фаере, я еще и подумал к чему такой гемор, опять команды писать.
Переделать бы надо, но уже как-то похуй на текущую работу.
Переделать бы надо, но уже как-то похуй на текущую работу.
Спасибо за терпение! У меня его часто не хватает.
вот теперь понятно.
цель: в случае взлома виндового сервера, злоумышленник не сможет получить доступ к другим компам.
цель: в случае взлома виндового сервера, злоумышленник не сможет получить доступ к другим компам.
я расчитывал что это будет понятно уже из заголовка =)
Ведь в этом и есть суть DMZ
Ведь в этом и есть суть DMZ
Вы знаете, d-link думает по другому
www.dlink.ru/ru/faq/69/303.html
Ну и я до сего момента думал как D-Link.
www.dlink.ru/ru/faq/69/303.html
Ну и я до сего момента думал как D-Link.
наверное это какая-то ошибка, так как речь идет о port forwarding, кмк
теперь то я знаю, но у dlink:
DMZ = all ports forwarding
DMZ = all ports forwarding
«виндовые» фаерволы просто идут лесом
Можете аргументировать свою фразу? Вы пишете статью не для локального ресурса своей компании, а для густонаселенного IT ресурса Зачем вводите людей в заблуждение? Какие из задача firewall не способен выполнить встроенный брандмауэр windows?
Вы серьёзно считаете, что возможности Iptables можно хоть как-то сравнивать с встроенным «брандмауэром» Windows?
Я задал конкретный вопрос и не собираюсь разводить демагогию, можете по существу ответить?
Конечно.
При помощи Iptables я разделил по сути три сети — DMZ(где и находится сервер), локальную сеть и Internet, тем самым обезопасил локальную сеть от проникновения извне при взломе сервера находящегося в DMZ. Средствами встроенного в Windows фаервола это вряд ли достижимо.
При помощи Iptables я могу гибко управлять трафиком идущим в любых направлениях
DMZ -> LAN — нельзя ничего
LAN -> DMZ — можно только tcp: 31187,3389
Internet -> DMZ — можно tcp: 8001,31187,20113,20118; udp: 20113,20118
DMZ -> Internet — можно только icmp, при чем только два типа icmp: echo request/reply
LAN -> Internet — нельзя ничего
Internet -> LAN — нельзя ничего
Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.
При помощи Iptables я разделил по сути три сети — DMZ(где и находится сервер), локальную сеть и Internet, тем самым обезопасил локальную сеть от проникновения извне при взломе сервера находящегося в DMZ. Средствами встроенного в Windows фаервола это вряд ли достижимо.
При помощи Iptables я могу гибко управлять трафиком идущим в любых направлениях
DMZ -> LAN — нельзя ничего
LAN -> DMZ — можно только tcp: 31187,3389
Internet -> DMZ — можно tcp: 8001,31187,20113,20118; udp: 20113,20118
DMZ -> Internet — можно только icmp, при чем только два типа icmp: echo request/reply
LAN -> Internet — нельзя ничего
Internet -> LAN — нельзя ничего
Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.
Список можно продолжить, но смысла в этом я не вижу.
В Windows firewall есть можно добиться той же гибкости, засчет назначения сетям статусов private\public\domen и соответствующих правил по отношению к этим сетям в firewall. Так же, этого можно добиться засчет диапазона адресов, т.е ответ на Ваш вопрос — да, это возможно встроенными средствами windows.
Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу. При этом я вполне допускаю, что iptables обладает более гибким механизмом построения эзотерических правил, но, согласитесь, в большинстве случаев в этом нет необходимости. Хотя повторюсь — возможно виндовый firewall не менее гибкий, просто моих знаний недостаточно.
При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.
Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу. При этом я вполне допускаю, что iptables обладает более гибким механизмом построения эзотерических правил, но, согласитесь, в большинстве случаев в этом нет необходимости. Хотя повторюсь — возможно виндовый firewall не менее гибкий, просто моих знаний недостаточно.
Вы не достаточно внимательны, как мне кажется.
Говоря о том, что этого можно добиться встроенными средствами Windows(в чем я очень сомневаюсь), вы не учитываете тот факт, что в качестве роутера выступает «коробочка» за 2,5к рублей. Windows уже умеет работать на таких устройствах? Брандмауэр Windows умеет SNAT/DNAT(подмена адреса источника/адреса назначения)?
Но все таки беретесь судить ;)
В моей заметке рассмотрены «большинство случаев»? В заголовке явно указанно чего мне необходимо добиться. В который раз повторюсь, мне нужно «спрятать» сервер в DMZ(о DMZ есть сноска в начале), и совершенно не важно Windows ли это, Linux или FreeBSD сервер.
Важно убрать тот сервис, который доступен извне.
Говоря о том, что этого можно добиться встроенными средствами Windows(в чем я очень сомневаюсь), вы не учитываете тот факт, что в качестве роутера выступает «коробочка» за 2,5к рублей. Windows уже умеет работать на таких устройствах? Брандмауэр Windows умеет SNAT/DNAT(подмена адреса источника/адреса назначения)?
Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу.
Но все таки беретесь судить ;)
но, согласитесь, в большинстве случаев в этом нет необходимости
В моей заметке рассмотрены «большинство случаев»? В заголовке явно указанно чего мне необходимо добиться. В который раз повторюсь, мне нужно «спрятать» сервер в DMZ(о DMZ есть сноска в начале), и совершенно не важно Windows ли это, Linux или FreeBSD сервер.
Важно убрать тот сервис, который доступен извне.
Я Вас попросил пояснить Вашу фразу:
Она безосновательна и вводит людей в заблуждение, зачем сюда приплетать роутер с его firewall, когда можно обойтись встроенными средствами, а значить задача поставленная в статье не требует тех усилий, которые были Вами приложены. Эта задача решается встроенным windows firewall + port forwarding на уже имеющемся, не прошитом, роутере. И еще раз, в Вашей статье написано: и мне не хотелось чтобы машина с OS Windows смотрела в интернет ни чем незащищенная. Windows, именно windows. Вы решали не абстрактную задачу, а вполне конкретную и этого можно было добиться гораздо меньшей кровью.
Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.
и мне не хотелось чтобы машина с OS Windows смотрела в интернет ни чем незащищенная(«виндовые» фаерволы просто идут лесом).
Она безосновательна и вводит людей в заблуждение, зачем сюда приплетать роутер с его firewall, когда можно обойтись встроенными средствами, а значить задача поставленная в статье не требует тех усилий, которые были Вами приложены. Эта задача решается встроенным windows firewall + port forwarding на уже имеющемся, не прошитом, роутере. И еще раз, в Вашей статье написано: и мне не хотелось чтобы машина с OS Windows смотрела в интернет ни чем незащищенная. Windows, именно windows. Вы решали не абстрактную задачу, а вполне конкретную и этого можно было добиться гораздо меньшей кровью.
Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.
Вы вообще читаете то, что я вам отвечаю?
Еще раз повторяю, главное слово здесь DMZ
И я решал не абстрактную, а вполне конкретную задачу. Если вас смущает мое отношение(о чем я явно указал в начале) к встроенному в Windows брандмауэру, что же оставлю вас наедине со своим смущением.
Ни один сервер доступный из сети Internet не будет смотреть другим интерфейсом в локальную сеть, только через фаервол.
Убирать я ничего не буду, как и при помощи каких инструментов решать поставленные задачи каждый администратор решает сам.
Касаемо избыточности — прочтите наконец уже что такое DMZ.
Продолжение дальнейшей полемики в текущем ключе, это уже, ИМХО, ололо )
Еще раз повторяю, главное слово здесь DMZ
И я решал не абстрактную, а вполне конкретную задачу. Если вас смущает мое отношение(о чем я явно указал в начале) к встроенному в Windows брандмауэру, что же оставлю вас наедине со своим смущением.
Ни один сервер доступный из сети Internet не будет смотреть другим интерфейсом в локальную сеть, только через фаервол.
Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.
Убирать я ничего не буду, как и при помощи каких инструментов решать поставленные задачи каждый администратор решает сам.
Касаемо избыточности — прочтите наконец уже что такое DMZ.
Продолжение дальнейшей полемики в текущем ключе, это уже, ИМХО, ололо )
Ваша вера в «хороший Windows» и не даёт Вам понять разницу между встроенным фаерволом этой системы и iptables. Ровно как и понять UNIX-way решение задачи, которое по умолчанию стоит значительно ближе к продуманным и надёжным с большим запасом прочности и малыми затратами на запуск/эксплуатацию. Ваше не знание iptables — не повод утверждать, что UNIX-way труден и не понятен. С таким же успехом для домохозяйки труден и не понятен фаервол Windows. Потому, что первый раз об этом слышит.
>> стоит значительно ближе к продуманным и надёжным с большим запасом прочности
LOLWUT, коробка за 2,5к рублей это продуманно и надёжно? А я думал что сервер от hp/dell/ibm/sm с двумя PSU, рейдом, двумя процессорами, сетевыми в LACP, memory mirroring это так, побаловаться.
Не перегибайте палку, вы в своей любви к UNIX-way так же упёрты и фанатичны как и ixSci.
LOLWUT, коробка за 2,5к рублей это продуманно и надёжно? А я думал что сервер от hp/dell/ibm/sm с двумя PSU, рейдом, двумя процессорами, сетевыми в LACP, memory mirroring это так, побаловаться.
Не перегибайте палку, вы в своей любви к UNIX-way так же упёрты и фанатичны как и ixSci.
Не хочу отвечать резко, хоть обстановка того требует. И вопросом отвечать не буду, потому, что не хочу дальнейшей полемики. Отвечу утверждением:
— вы в своей виндоупёртости никак не поймёте, что люди знающие UNIX вполне себе прямо сейчас обслуживают и Windows. Порой даже сотнями хостов. Просто знают и умеют немного(или очень моного) больше вас. Но не упираются с пробуксовкой в одинокий столб среди голого поля. А вы кидаетесь на них, как псы. Давно ушло время, когда Linux хвалили на голом месте. Теперь стоит им заикнутся о чём-то лучшем, чем на винде — атас!
Я не сказал, что именно это — идеальное решение, я сказал про близость этого решения к идеальным.
Да, и это на самом деле прекрасное решение. Не дорого, элегантно, легко управляется хоть с мобильника и хорошо резервируется.
— вы в своей виндоупёртости никак не поймёте, что люди знающие UNIX вполне себе прямо сейчас обслуживают и Windows. Порой даже сотнями хостов. Просто знают и умеют немного(или очень моного) больше вас. Но не упираются с пробуксовкой в одинокий столб среди голого поля. А вы кидаетесь на них, как псы. Давно ушло время, когда Linux хвалили на голом месте. Теперь стоит им заикнутся о чём-то лучшем, чем на винде — атас!
Я не сказал, что именно это — идеальное решение, я сказал про близость этого решения к идеальным.
Да, и это на самом деле прекрасное решение. Не дорого, элегантно, легко управляется хоть с мобильника и хорошо резервируется.
Вот о чем я и говорил — я вам говорю, с откровенным стебом, что коробка за 2,5к рублей явно не эталон надежности (не для дома, но это другой вопрос), а вам уже что-то мерещится и вы просаетесь с пеной у рта доказывать что «виндоводы» чуть что бросаются с пеной у рта что-то доказывать (если вы не заметили — поясню- САРКАЗМ).
А по поводу «хвалить линукс за просто так» вы немного ошибаетесь, проблема не в том что что его хвалят за просто так, а в том что его хвалят за то, что плохо у винды, причем не всегда это соответствует действительности (яркий пример — ТС и брандмауэр), причем этим занимаются люди технически неподкованные, что и вызывает срач, ярким примером служит IxSci: лагерь другой, методы те же.
А по поводу «хвалить линукс за просто так» вы немного ошибаетесь, проблема не в том что что его хвалят за просто так, а в том что его хвалят за то, что плохо у винды, причем не всегда это соответствует действительности (яркий пример — ТС и брандмауэр), причем этим занимаются люди технически неподкованные, что и вызывает срач, ярким примером служит IxSci: лагерь другой, методы те же.
>>Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
В Win6+ (2008/Vista и выше) запросто. Более того, может требовать чтобы соединение было только безопасным, т.е. с IPSec, и отказывать в соединении иначе. Может разрешать определённым пользователям/группам, определённым компьютерам, определённым программам/службам. Может пропускать пакеты прошедшие NAT, может не пропускать, может отдать на откуп программе или пользователю.
И да, NAT имеется ещё с Win98.
Вы видимо не сталкивались с БМ выше Windows XP, а уж со службой RRaS и тем более не знакомы.
ЗЫ насчёт кривых пакетов не скажу, т.к. не могу однозначно ответить да либо нет.
ЗЗЫ да, только конкретные ICMP запросы тоже может, причем появилось это ещё в ХР, на уровне машины, а сейчас кастомно с правилами.
В Win6+ (2008/Vista и выше) запросто. Более того, может требовать чтобы соединение было только безопасным, т.е. с IPSec, и отказывать в соединении иначе. Может разрешать определённым пользователям/группам, определённым компьютерам, определённым программам/службам. Может пропускать пакеты прошедшие NAT, может не пропускать, может отдать на откуп программе или пользователю.
И да, NAT имеется ещё с Win98.
Вы видимо не сталкивались с БМ выше Windows XP, а уж со службой RRaS и тем более не знакомы.
ЗЫ насчёт кривых пакетов не скажу, т.к. не могу однозначно ответить да либо нет.
ЗЗЫ да, только конкретные ICMP запросы тоже может, причем появилось это ещё в ХР, на уровне машины, а сейчас кастомно с правилами.
Вы сейчас точно о встроенном брандмауэре говорите?
Вновь повторю, мне необходимо было убрать сервис в DMZ, ставить отдельную машину в качестве фаера, а уж тем более ставить на эту машину Windows, нет уж.
ps
да, со службой RRaS не знаком
Вновь повторю, мне необходимо было убрать сервис в DMZ, ставить отдельную машину в качестве фаера, а уж тем более ставить на эту машину Windows, нет уж.
ps
да, со службой RRaS не знаком
Да, встроенный.
Да, именно эти задачи, причем вполне возможно что даже на десктопной версии.
А я разве вам предлагал? И в мыслях не было, только ликбез и не более того.
зы
RRaS занимается роутингом, НАТом, IPSec Тоннелями и VPN, причем если надо закрыть машину на 2003 сервере, то RRaSом это можно сделать без привлечения доп. софта.
Да, именно эти задачи, причем вполне возможно что даже на десктопной версии.
А я разве вам предлагал? И в мыслях не было, только ликбез и не более того.
зы
RRaS занимается роутингом, НАТом, IPSec Тоннелями и VPN, причем если надо закрыть машину на 2003 сервере, то RRaSом это можно сделать без привлечения доп. софта.
Вырезаем OpenWrt с Asus, разворачиваем теорию DMZ и конфиг iptables, как средство реализации, с комментариями и получаем… Но все равно спасибо :)
у меня этот роутер с прошивкой от олега даже торрент не может тянуть — забиваются 16 мб и нужна перезагрузка. в общем тянет только базовый функционал.
OpenWRT меньше потребляет?
OpenWRT меньше потребляет?
За сим закончу, поставленные задачи выполнены, трафик бегает так как мне нужно.
В заключении стоит отметить, что данное решение весьма бюджетно и вряд ли может рассматриваться при больших объемах трафика.
При тестировании iperf'ом были получены следующие результаты:
сервер iperf запущен в dmz, клиент в локалке = ~ 36Mb/s
сервер iperf запущен в dmz, клиент в Internet = ~ 26Mb/s
Для меня этого вполне достаточно, провайдер дает нам 4Mb/s, а из локальной сети в DMZ трафик весьма не велик.
Что то у Вас как то слабовато получилось.
Вот мой опыт с этими безделушками :)
Asus 500gP v1 + dd-wrt (гуя натянутая на openwrt). Проц не разгонял.
Пропускная способность 8,5 мегаБайт/с: помойка на самбе — NAT — домашний комп. Тестил киллкопи и тупым копированием. И это при наличии еще 2х машин в моей локалке пользующихся инетом. При поднятом PPTP сервере, роутер держал 20 мегабит с обрывами конечно.
На работе как то тестил работу NAT на d link dir-320. Цель изучить возможность установки в качестве маршрутизатора в небольшой локальной сети до 100 компьютеров. В тепличных условиях iperf, показал 98-99 мегабит. Дальше дело не пошло, изменились условия.
Вот мой опыт с этими безделушками :)
Asus 500gP v1 + dd-wrt (гуя натянутая на openwrt). Проц не разгонял.
Пропускная способность 8,5 мегаБайт/с: помойка на самбе — NAT — домашний комп. Тестил киллкопи и тупым копированием. И это при наличии еще 2х машин в моей локалке пользующихся инетом. При поднятом PPTP сервере, роутер держал 20 мегабит с обрывами конечно.
На работе как то тестил работу NAT на d link dir-320. Цель изучить возможность установки в качестве маршрутизатора в небольшой локальной сети до 100 компьютеров. В тепличных условиях iperf, показал 98-99 мегабит. Дальше дело не пошло, изменились условия.
Поставленной цели я достиг )
Скорость меня устраивает, хотя, быть может, некоторый тюнинг sysctl и iptables позволит добиться больших результатов.
Скорость меня устраивает, хотя, быть может, некоторый тюнинг sysctl и iptables позволит добиться больших результатов.
У вас стоит процессор 200 мегагерц. Проц такой же как и 500gP v2, но частота принудительно снижена на 40мГц. Из-за этого и все тормоза. В 500gPv1 чип гонится до 300 мГц и греется всего на 5 град сильнее. Принудительного охлаждения не требуется.
Донесите пожалуйста эту мысль в статье, а то как то негативом попахивает в сторону бюджетных роутеров и тем более отношение к линуксоидам. Мое первое впечатление от прочитанного испортило как раз производительность+сложность установки/настройки.
Донесите пожалуйста эту мысль в статье, а то как то негативом попахивает в сторону бюджетных роутеров и тем более отношение к линуксоидам. Мое первое впечатление от прочитанного испортило как раз производительность+сложность установки/настройки.
Негатив в сторону бюджетных роутеров?
Если так, я бы не стал вообще их использовать, и тем более писать о них. Железяки работают на ура, будь то решение описаное в предыдущей заметке, будь то данное решение.
А что касается линуксоиды versus виндоводы, то позвольте я останусь в стороне от безконечных свещенных войн и поливания друг друга помоями.
Мое мнение — каждая ОС под свои задачи.
Если так, я бы не стал вообще их использовать, и тем более писать о них. Железяки работают на ура, будь то решение описаное в предыдущей заметке, будь то данное решение.
А что касается линуксоиды versus виндоводы, то позвольте я останусь в стороне от безконечных свещенных войн и поливания друг друга помоями.
Мое мнение — каждая ОС под свои задачи.
Я с вами полностью согласен, сам использую и очень доволен.
Когда прочитал вывод и в нем говориться о пропускной способности в 36мегабит, меня это сильно разочаровало. Производительность явно занижена, стандартный dir-320 дает на много больше! Для сравнения по яндекс-маркету
Средняя цена:
2 056 руб.
от 1 847 до 3 190 руб
D-link DIR-320
Средняя цена:
1 810 руб.
от 1 475 до 5 950 руб.
А то что разводят холивар, так это по глупости и большим желанием побить себя пяткой в грудь.
Когда прочитал вывод и в нем говориться о пропускной способности в 36мегабит, меня это сильно разочаровало. Производительность явно занижена, стандартный dir-320 дает на много больше! Для сравнения по яндекс-маркету
Средняя цена:
2 056 руб.
от 1 847 до 3 190 руб
D-link DIR-320
Средняя цена:
1 810 руб.
от 1 475 до 5 950 руб.
А то что разводят холивар, так это по глупости и большим желанием побить себя пяткой в грудь.
net.netfilter.nf_conntrack_generic_timeout = 200
net.netfilter.nf_conntrack_tcp_timeout_established = 200
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_max = 2048(или 1024)
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_established = 200
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_max = 2048(или 1024)
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
Порты уж больно знакомые.
Если не ошибаюсь, то автор пытался решить проблему скорости работы PlayStation 3 в интернет известную как NAT 2Type.
Я решил её проще.
1. Взял внешний IP у провайдера;
2. Включил на роутере поддержку UPnP;
3. Включил на PS3 поддержку UPnP.
Теперь как только PS3, либо любой другой, поддерживающий UPnP технолию, девайс, требует инета, то правила форвардинга прописываются автоматически. Каждый девайс получает прямой доступ в инет по определенным портам.
P.S. проблема PS3 NAT Type2 решилась )
Если не ошибаюсь, то автор пытался решить проблему скорости работы PlayStation 3 в интернет известную как NAT 2Type.
Я решил её проще.
1. Взял внешний IP у провайдера;
2. Включил на роутере поддержку UPnP;
3. Включил на PS3 поддержку UPnP.
Теперь как только PS3, либо любой другой, поддерживающий UPnP технолию, девайс, требует инета, то правила форвардинга прописываются автоматически. Каждый девайс получает прямой доступ в инет по определенным портам.
P.S. проблема PS3 NAT Type2 решилась )
Если не ошибаюсь, то автор пытался решить проблему скорости работы PlayStation 3 в интернет известную как NAT 2Type.
Ошибаетесь.
Это GPS мониторинг автотранспорта.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
OpenWRT + Asus WL 520GU + Iptables. Разделяем LAN, DMZ и Internet