[Sirko9]

Цитата dog_roulis:

любой поподает на страницу с настройками моего модема »

этого не может быть

[Severny]

Цитата Sirko9:

этого не может быть »

Может быть, почему же.

Цитата dog_roulis:

Подскажите как закрыть такую возможность »

Смотри Access Menegment в модеме.

Цитата dog_roulis:

Модем подключен к роутеру, роутер подключен к 2м компам »

Наоборот.

Для чего используются 2 одинаковых устройства?

Код:

Модем - TPlink TD-8817
 Роутер - Dlink Dsl-504T

(по dl 504 гугл нашел только Утюг Delta DL-504)

[AMDBulldozer]

Цитата dog_roulis:

Подскажите как закрыть такую возможность »

Я полагаю, что в графическом интерфейсе модема может быть специальная опция для блокирования доступа к меню конфигурации из сети.
К сожалению, она мне неизвестна. Я могу предложить Вам два варианта блокировать доступ к меню конфигурации, но сразу предупреждаю, что не уверен в оптимальности предложенных методов.

Первый способ самый простой и заключается в невозможности установить tcp-сессию инициатором которых служит узел глобальной сети (то есть при получении пакета с установленным флагом SYN, но сброшенным ACK маршрутизатор блокирует продолжение 3-way handshake процедуры).
Для этого Вы выбираете Advanced Setup > Firewall > SPI > Enabled.
Мне неизвестно насколько хорошо реализована в данном маршрутизаторе эта процедура, поэтому теоретически установка SPI в Enabled может привести к тому, что некоторые протоколы, использующие несколько портов, перестанут работать.
Примером такого протокола может служить FTP в активном режиме. Когда клиент передает ftp-серверу номер порта для передачи данных, сервер пытается подключиться к этому порту. Поскольку в нашем случае любые попытки подключения из сети будут блокированы, использовать активный режим ftp может не получиться.
А может и получиться, если авторы прошивки анализируют пакеты и открывают порты относящиеся (related) к основному соединению. Вопрос "проброски" (forwarding) портов, необходимый для работы ftp в активном режиме мы в данном случае не затрагиваем.

Второй вариант чуть более сложен, зато селективно блокирует именно доступ к меню конфигурации.
Смысл его крайне прост - закрыть 80-ый порт (http) от доступа из сети.
Делается это при помощи филльтрации трафика адресованного на данный порт.
Выбираете Access Management > Filter и заполняете поля следующим образом:
Interface - WAN (PVC0-PVC7 )
Source IP Address - 0.0.0.0, Port Number - 0
Destination IP Address - <IP Вашего маршрутизатора>, Subnet Mask - 255.255.255.255, Port Number - 80
Protocol - TCP

Не забудьте отметить правило как активное: "Active - Yes".

Примечание: не исключено, что у Вас динамический ip. Ничего страшного. В этом случае Вы вместо ip Вашего маршрутизатора указываете, изменив соответствующим образом маску подсети, весь диапазон ip адресов выделенных Вашему провайдеру.
Вряд ли Вам понадобится получить доступ к web-интерфейсу другого пользователя, не так ли?

К сожалению, это всё, что я могу Вам посоветовать. Вполне вероятно, что существуют более простые способы. Давайте подождем, может быть кто-нибудь их Вам подскажет...

[exo]

Цитата AMDBulldozer:

Я полагаю, что в графическом интерфейсе модема может быть специальная опция для блокирования доступа к меню конфигурации из сети. »

http://www.tp-linkru.com/Resources/d...User_Guide.pdf
со страницы 36

Цитата:

ACL: If Activated, the IP addresses which are contained in the Access Control List can access to the Router. If Deactivated, all IP addresses can access to the Router. ACL Rule Index: Select the ACL rule index for the entry. Active: Enable the ACL rule. Secure IP Address: Select the IP addresses which are permitted to access to the Router remotely. With the default IP 0.0.0.0, any client would be allowed to remotely access the ADSL Router. Application: Select the application for the ACL rule, and then you can access the Router through it. Interface: Select the interface for access: LAN, WAN or Both. Access Control of Listing: This displays the information about the ACL Rules.

[dog_roulis]

Цитата AMDBulldozer:

Я полагаю, что в графическом интерфейсе модема может быть специальная опция для блокирования доступа к меню конфигурации из сети. К сожалению, она мне неизвестна. Я могу предложить Вам два варианта блокировать доступ к меню конфигурации, но сразу предупреждаю, что не уверен в оптимальности предложенных методов. Первый способ самый простой и заключается в невозможности установить tcp-сессию инициатором которых служит узел глобальной сети (то есть при получении пакета с установленным флагом SYN, но сброшенным ACK маршрутизатор блокирует продолжение 3-way handshake процедуры). Для этого Вы выбираете Advanced Setup > Firewall > SPI > Enabled. Мне неизвестно насколько хорошо реализована в данном маршрутизаторе эта процедура, поэтому теоретически установка SPI в Enabled может привести к тому, что некоторые протоколы, использующие несколько портов, перестанут работать. Примером такого протокола может служить FTP в активном режиме. Когда клиент передает ftp-серверу номер порта для передачи данных, сервер пытается подключиться к этому порту. Поскольку в нашем случае любые попытки подключения из сети будут блокированы, использовать активный режим ftp может не получиться. А может и получиться, если авторы прошивки анализируют пакеты и открывают порты относящиеся (related) к основному соединению. Вопрос "проброски" (forwarding) портов, необходимый для работы ftp в активном режиме мы в данном случае не затрагиваем. Второй вариант чуть более сложен, зато селективно блокирует именно доступ к меню конфигурации. Смысл его крайне прост - закрыть 80-ый порт (http) от доступа из сети. Делается это при помощи филльтрации трафика адресованного на данный порт. Выбираете Access Management > Filter и заполняете поля следующим образом: Interface - WAN (PVC0-PVC7 ) Source IP Address - 0.0.0.0, Port Number - 0 Destination IP Address - <IP Вашего маршрутизатора>, Subnet Mask - 255.255.255.255, Port Number - 80 Protocol - TCP Не забудьте отметить правило как активное: "Active - Yes". Примечание: не исключено, что у Вас динамический ip. Ничего страшного. В этом случае Вы вместо ip Вашего маршрутизатора указываете, изменив соответствующим образом маску подсети, весь диапазон ip адресов выделенных Вашему провайдеру. Вряд ли Вам понадобится получить доступ к web-интерфейсу другого пользователя, не так ли? К сожалению, это всё, что я могу Вам посоветовать. Вполне вероятно, что существуют более простые способы. Давайте подождем, может быть кто-нибудь их Вам подскажет... »

ПерепробЫвал 2 варианта, все равно зайти можно в веб интерфейс модема

Цитата exo:

ACL: If Activated, the IP addresses which are contained in the Access Control List can access to the Router. If Deactivated, all IP addresses can access to the Router. ACL Rule Index: Select the ACL rule index for the entry. Active: Enable the ACL rule. Secure IP Address: Select the IP addresses which are permitted to access to the Router remotely. With the default IP 0.0.0.0, any client would be allowed to remotely access the ADSL Router. Application: Select the application for the ACL rule, and then you can access the Router through it. Interface: Select the interface for access: LAN, WAN or Both. Access Control of Listing: This displays the information about the ACL Rules. »

у меня с английским очень плохо

[exo]

Цитата dog_roulis:

у меня с английским очень плохо »

в секции Secure IP Address нужно поменять адрес 0.0.0.0 на ваш, к примеру, локальный.
Вообще, впервые встречаю устройство где по-умолчанию разрешено подключение из-вне...

[dog_roulis]

Цитата exo:

в секции Secure IP Address нужно поменять адрес 0.0.0.0 на ваш, к примеру, локальный. Вообще, впервые встречаю устройство где по-умолчанию разрешено подключение из-вне... »

Спасибо, теперь все отлично, теперь никто (включая меня) не сможет зайти в веб интерфейс модема ))))

[exo]

Цитата dog_roulis:

(включая меня) »

Цитата exo:

Вообще, впервые встречаю устройство где »

[Severny]

Мне всеж интересно. Dl-504 - это что, как не adsl модем? Зачем их два?