Имеем Инффин с реальным IP, имеем этот роутер на внешнем интерфейсе которого Инффин и реальный IP. Имеем домашнюю сеть вида 192.168.0.0/24 за NAT'ом за этим роутером. Имеем основной комп 192.168.0.2 в сети LAN данного роутера. Данный хост помещён в зону DMZ данного роутера, что обеспечивает прямой port mapping на основной комп, чтобы соединения все проходили до моего основного компа. И тут я начал замечать много соединений по SMB на свой комп с Интернета. Ну явно всякие черви ищут очередные уязвимости. Короче хочу закрыть 3 порта на вход: 135, 139, 445. Но вот не знаю как это сделать в D-Link'е...
На
нормальном железе я бы написал так (93.123.227.84 - мой реальный IP):
Код: Выделить всё
deny ip any host 93.123.227.84 eq 135
deny ip any host 93.123.227.84 eq 139
deny ip any host 93.123.227.84 eq 445
permit ip any any
И повесил бы этот acl на интерфейс WAN как In.
Но вот в D-Link'е какая-то странная логика. Не пойму, как обозначить "any". Не пойму что имеется ввиду под Destination. Посмотрите пожалуйста, правильно ли я сделал? Имеется ли после этого всего внизу автоматический "permit any any"?