Вопрос первый, может ли пользователь ПК, находящийся в сети провайдера с IP 172.17.X.X видеть мои расшаренные папки в сети 192.168.X.X, при условии, что я сижу за NAT роутера и при этом в свойствах подключения у меня только галочка на Протокол интернета (TCP/IP)?
Второе, те же самые условия, что и в первом вопросе, только я устанавливаю галочки на Клиент для сетей MS и на Служба доступа к файлам и принтерам сетей MS, становятся ли видимыми извне мои расшаренные папки?

Я могу увидеть шары в сети провайдера только активировав все три службы, но только на тех ПК, где нет роутеров, то есть на тех, что не за NAT. Использую сканеры сети (NetScan, NetLook).

Спрашиваю, так как ко мне на ПК недавно приходили "посетители" с внешней сети 172.17.X.X , интересует как от них скрыть шары, но при этом общие папки должны быть открытыми в моей внутренней сети с IP 192.168.X.X.

Ещё добавлю, что роутер новый, DIR-300/NRU, пока что не полностью ему доверяю. Хотя в нём как бы и есть NAT, но почему-то маршрутизатор не участвует в tracert, то есть работает прозрачно, что меня и смущает, но настроен как роутер, а не как точка доступа.

Если будут вопросы, с удовольствием отвечу.

Rostlv, 1 - нет, 2 - нет. Утверждения верны, если маршрутизатор настроен стандартно без порт-маппинга внутрь домашней сети.

только я устанавливаю галочки на Клиент для сетей MS и на Служба доступа к файлам и принтерам сетей MS, »
если у вас не будет этих галочек - даже из локальной сети никто не увидит у вас расшаренные ресурсы...
Я вот не помню, они вообще создадутся...

Проверил возможность доступа извне в мою сеть, зайти на ПК не получилось. Пробовал оба варианта, указанные мной в первом посте. Смог зайти только через DMZ, что и не удивительно. Но всё же странно, как тогда при таких же настройках роутера в NetWorx было соединение с ПК из внешней сети, причём подсоединялся не я, а ко мне. И ещё, как можно объяснить, что маршрутизатор не участвует в tracert? Но при этом, если пытаться найти его по IP из внешней сети, то некоторые сканеры это делают, даже если отключен пинг WAN-порта.

Но при этом, если пытаться найти его по IP из внешней сети, то некоторые сканеры это делают, даже если отключен пинг WAN-порта. »
Только некоторые? Какие именно?
Точно отключен?
Может, нужно перезагрузиться?

И ещё, как можно объяснить, что маршрутизатор не участвует в tracert? »
Как не участвует?
Первым пунктом сразу идёт маршрутизатор провайдера?

Но при этом, если пытаться найти его по IP из внешней сети, то некоторые сканеры это делают, даже если отключен пинг WAN-порта. »
Только некоторые? Какие именно?
Точно отключен?
Может, нужно перезагрузиться? »
NetScan находит, а NetLook - нет. Только в настройках NetScan надо поменять метод сканирования на both ICMP & ARP.
И ещё, как можно объяснить, что маршрутизатор не участвует в tracert? »
Как не участвует?
Первым пунктом сразу идёт маршрутизатор провайдера? »
Да, первый шлюз провайдера, а DIR - не виден.

при условии, что я сижу за NAT роутера »
Возможно, что WAN-порт роутера работает без включения NAT, и роутер напрямую замыкает WAN на первый локальный IP?
Конкретно с DIR-300 я не работал, но на некоторых ADSL-модемах в настройках WAN-порта в режиме PPPoE-соединения были отдельные опции для включения firewall (настраивался отдельно) и NAT
Хотелось бы взглянуть на скриншот параметров WAN

NAT в DIR выключается только при задействовании AP, в режиме роутера он включен всегда.
Скриншоты настроек WAN, static IP, как у меня:
http://img7.imageshost.ru/imgs/091211/7e5021823d/t2b112.jpg (http://imageshost.ru/links/e4e67db4e565d02efd0c6d6454eadaec)
http://img7.imageshost.ru/imgs/091211/a6a4856ba0/tc5736.jpg (http://imageshost.ru/links/e5c5f84badacd11ce6d99798cce168c7)
Остальные настройки можно посмотреть в мануале тут: ftp://ftp.dlink.co.uk/dir_products/dir-300/
Маршрутизатор работает прозрачно не только у меня, а у всех владельцев. Вот поэтому и интересно, как разработчики смогли реализовать сей момент в устройстве. И почему IP роутера можно обнаружить при ARP-сканировании. И как ко мне зашли, при включённом NAT, без какого либо проброса портов, всё было по умолчанию, даже SPI был включен.

Скриншоты настроек WAN, static IP, как у меня: »
А почему на этом скриншоте не видно никаких настроек?

А почему на этом скриншоте не видно никаких настроек? »
Так настройки то стандартные, IP - 172.17.X.X, маска - 255.255.0.0, шлюз - 172.17.X.X, DNS - от google 8.8.8.8 и 8.8.4.4, привязки по MAC нет. Второй скриншот так и выглядит. Ещё включен SPI и брандмауэр, который не отключается. Всё.

Так настройки то стандартные, IP - 172.17.X.X »
Тем более непонятно, зачем нужно шифровать серый IP :)

Ещё два вопроса
1. Как организован выход в интернет? Провайдер маршрутизирует данную сеть или же создаётся коммутируемое PPPoE (VPN) соединение?
2. Есть ли программы, создающие "виртуальную частную сеть"? (Hamachi и т.д.)

так как ко мне на ПК недавно приходили "посетители" с внешней сети 172.17.X.X , »
Как было обнаружено вторжение?

1. Как организован выход в интернет? Провайдер маршрутизирует данную сеть или же создаётся коммутируемое PPPoE (VPN) соединение?
2. Есть ли программы, создающие "виртуальную частную сеть"? (Hamachi и т.д.) »
Никакого VPN, соединение static IP, со всеми вытекающими, соответственно доп. ПО нет.
Как было обнаружено вторжение?»
По уменьшению скорости закачки, в это время канал использовался на полную. Установлен NetWorx, там и увидел в "соединениях". Порт 80, как раз и был открыт, так как качал с файлообменника. SPI почему-то не сработал должным образом.
Кстати, недавно посещал WU, проверял только наличие обновлений, ничего не устанавливал, но каким-то образом, сервер WU подсоединился ко мне по UDP-порту. Брандмауэр DIR, по-моему - решето. Вот и консультируюсь, надо удостовериться в правоте, если так, то придётся ругаться с разработчиками прошивки.

Порт 80, как раз и был открыт, так как качал с файлообменника. »
Не понял? Локальный 80-й порт? На домашнем компьютере поднят HTTP-сервер?
А какое отношение он имеет к скачке чего-то с файлообменников?

сервер WU подсоединился ко мне по UDP-порту »
Какой сервер - стандартный Мелкомягкий или провайдер экономии траффика ради предоставляет доступ к своему внутреннему "зеркалу"?
Отвечаю, ни один сайт из интернета не смог бы получить доступ даже к устройству с адресом 172.25.x.y , ибо это "серый" адрес, защищаемый маршрутизатором провайдера

Не понял? Локальный 80-й порт? На домашнем компьютере поднят HTTP-сервер?
А какое отношение он имеет к скачке чего-то с файлообменников? »
Нет, на маршрутизаторе, локальный не помню какой был открыт.
Какой сервер - стандартный Мелкомягкий или провайдер экономии траффика ради предоставляет доступ к своему внутреннему "зеркалу"? »
Да стандартный, IP - 207.46.197.32, зеркала у провайдера нет.
http://img7.imageshost.ru/imgs/091209/bf388858ce/97eec.jpg (http://imageshost.ru/)
http://img7.imageshost.ru/imgs/091209/05faa8e63e/1bfa1.jpg (http://imageshost.ru/)
ни один сайт из интернета не смог бы получить доступ даже к устройству с адресом 172.25.x.y , ибо это "серый" адрес, защищаемый маршрутизатором провайдера»
Как тогда объяснить первый скриншот?

Как тогда объяснить первый скриншот? »
Какой ещё "первый скриншот"?

В*конце-концов, хотелось бы видеть логи программы, обнаружившей "взлом".
Или хотя бы результаты netstat

Какой ещё "первый скриншот"? »
Тот, что над вторым. На нём отчётливо видно соединение моё и ко мне.
Или хотя бы результаты netstat »
В NetWorx, закладка "соединения" это и есть вариант netstat. Лог конечно не сохранял, своим глазам пока что доверяю.
В общем спасибо всем за помощь.

Тот, что над вторым. На нём отчётливо видно соединение моё и ко мне. »

Там отчётливо видно 13 соединений (1 UDP + 12 TCP). Входящие они или исходящие не написано.

Входящие они или исходящие не написано. »
Не написано. Но разве при проверке обновлений ПК подключается к серверам WU по UDP? И вообще, это первое соединение на DIR, когда появился IP из интернета, всегда только внутренние IP (не считая DNS). После этого случая специально пробовал воссоздать ситуацию, не получилось. Смотрел NetWorx, на WU соединения только по TCP, по UDP - нет.

WU использует HTTP (80) и HTTPS (443).

На указанном адресе висит огромное число сайтов MS (http://onsamehost.com/207.46.197.32/).
Любая MS программа могла отправить на него UDP пакет.

Для отслеживания активности приложений используется персональный файрвол.

Для отслеживания активности приложений используется персональный файрвол. »
Да, конечно. Но хочется ограничить количество брандмауэров, а так есть аппаратный, на все ПК. Но для полной безопасности приходится ставить ещё на каждый ПК софтовый. Зачем тогда аппаратный? Понимаю, что в DIR он не совсем полноценный, не может справиться даже с безопасностью внутренних сетей, пришлось настроить правила. Но на интернет правила в нём не настроить, разве что полностью запретить.