у меня такая ситуация:
в Route and Remote Access поднято подключение(isdn) к интернету,
раздаётся он всем с помощью nat, в вкладке ip-routing -> nat/basic firewall -> local connection(сетевая)
-> inbound/outbound filters никаких правил не прописано, и всем по умолчанию дан доступ в мнет.
Пытаюсь там что-то изобразить, так что сервер перестаёт пинговаться.
Подскажите, как всем закрыть доступ в инет, кому надо разрешить?

Пытаюсь там что-то изобразить, так что сервер перестаёт пинговаться. »дык к самому серверу там же доступ открывать (на внутреннем интерфейсе), к примеру:

Входящие, Source network, IP/Mask: 192.168.0.0/255.255.0.0 (внутренние подсети)
Входящие, Destination network, IP/Mask: 192.168.0.1/255.255.255.255 (адрес сервера)
Входящие, Protocol: Any

Исходящие, Source network, IP/Mask: 192.168.0.1/255.255.255.255 (адрес сервера)
Исходящие, Destination network, IP/Mask: 192.168.0.0/255.255.0.0 (внутренние подсети)
Исходящие, Protocol: Any

Всё также отваливается локалка, вот посмотрите скрин:

slaine,
Каким макаром внешний интерфейс и шлюз из различных подсеток?

monkkey, это мой IP на внешнем интерфейсе dial-up modem, шлюз это до провайдера, тут всё роутится нормально.
меня интересует моя внутреняя сеть, короче отваливается локалка, когда я прописываю правила в nat,
по умолчанию(без всяких записей) есть доступ к серверу и кинету, правда всем,
вот и хочу ограничить..

отваливается локалка, когда я прописываю правила в nat »
- надеюсь NAT включен только на внешнем интерфейсе?
- интересно, какой смысл писать правила на внешнем интерфейсе для ограничения внутренних клиентов?.. или у тебя для каждого внутреннего IP зарезервирован свой внешний адрес?.. имей ввиду, на внешний фильтр попадают уже оттрансированные адреса (вместо внутреннего адреса/порта клиента уже стоит фиктивный внешний адрес/порт)

ADD: пример разрешающей записи (на внутреннем интерфейсе) для доступа внутреннего компа ко всем IP:

Входящие, Source network, IP/Mask: 192.168.1.55/255.255.255.255 (хост с доступом к интернет)
Входящие, Destination network: (Any)
Входящие, Protocol: Any

Исходящие, Source network: (Any)
Исходящие, Destination network, IP/Mask: 192.168.1.55/255.255.255.255 (хост с доступом к интернет)
Исходящие, Protocol: Any

- надеюсь NAT включен только на внешнем интерфейсе?

да, на внешнем интерфейсе
+public interface connected to the internet
+ enable nat on this interface

внутренний:
+ private interface connected to private network

правила надо создать на втнутренем интерфейсе, что я пытаюсь, чтобы ограничить доступ в инет,
но при любом телодвижении отваливается локаль, по умолчанию доступ есть.

на компах шлюзом стоит RRAS?.. чтобы не гадать, NETSH.LOG в студию (на RRAS): NETSH DUMP >NETSH.LOG

da RRAS
NETSH.LOG:

slaine
не понял - это нерабочий вариант?... Чего-то не видно ни одного фильтра ...И зачем статический маршрут в ветке "Static Routes"?.. Адрес шлюза нужно вбивать в свойствах внешнего интерфейса (тот что NAT)?

amel27, рабочий, все так в интернет ходят.
фильтров вобще нет потомучто я говорил, сеть отваливается.
адрес шлюза вбил я,.. не знал что его надо было в nat писать.
Так что, как мне правильно зделать, подскажите?

может при добавлении разрешающих фильтров ты забыл перебросить пимпу вниз - с "разрешения всех кроме..." на "запрет всех кроме..."? Вот пример разрешающего фильтра для работы с сервером из внутренней сети по всем доступным протоколам, командная строка:netsh exec netsh.txtсодержимое файла netsh.txt:pushd routing ip

set filter name="Local Area Connection" filtertype=INPUT action=DROP
add filter name="Local Area Connection" filtertype=INPUT srcaddr=192.168.0.0 srcmask=255.255.0.0 dstaddr=192.168.1.254 dstmask=255.255.255.255 proto=ANY
set filter name="Local Area Connection" filtertype=OUTPUT action=DROP
add filter name="Local Area Connection" filtertype=OUTPUT srcaddr=192.168.1.254 srcmask=255.255.255.255 dstaddr=192.168.0.0 dstmask=255.255.0.0 proto=ANY