|
Цитата:
|
https и icq
есть проблема с https и icq
все ок с сервера, но в клиентов не работает, причем icq не работает именно не официальные клиенты ( объясните каким должно бьть правило чтобы работал qip порт там 5190 |
Цитата:
А вообще хотелось бы поподробнее, что за сеть, список правил на фаерволе. |
уточню...
Сеть: 5 машин, адреса: 192.168.0.5-192.168.0.9
сервак: 2 сетевухи (внешняя смотрящая в инет и внутренняя 192.168.0.1) шлюз и днс на клиентах 192.168.0.1, на серверной сетевухе только адрес и маска. Суть в том, что нужно держать открытыми 2000 и 3000 порты, дать возможность работать через QIP и https настроена прокся на: 3128 и если указать ее в настройках браузера и QIP то все работает ок: и qip и https. Остались вопросы: 0) можно либез прокси сделать при помощи правил (каких?) доступной работу QIP и HTTPS 1) если я хочу сделать клиентам открытые порты 2000 и 3000, то как должно выглядеть правило? (local net) -to- (firewall) or (internet)? ЗЫ: на файерволе все работает ок 2) если делаю в сервисах any, это подразумевает любой? то есть к примеру подразумевает ли это открытие 2000 и 3000 портов? 3) dial-in, эта фича создается автоматически, но зачем она нужна? |
Цитата:
Цитата:
Цитата:
Цитата:
|
"В Traffic Policy в правилах NAT и Firewall Traffic в сервисах должны присутствовать порты 5190 и 443. Для нормальной работы HTTPS в сервисах для этого протокола отключа Protocol Inspector."
ок, это означает что должно присутствовать 2 правила в которых разрешить порты: 1) из локальной сети в файервол 2) из файервола в интернет или нужно правило из локальной сети в интернет? хочу понять суть кто куда стучится. Локалка стучится в файервол и тут отдельное правило, а потом уже файервол сам стучится в нет и там другое правило, так? |
Сделай скрин правил, так проще будет...
|
Цитата:
Комп с керио работает как шлюз он получает пакеты из локальной сети и отправляет их наружу. Если настроен нат, то происходит следующее: шлюз получает пакет и смотрит от кого он пришел (соответственно в правиле - источник -- лвс), затем он смотрит куда направлен (соответственно в правиле - получатель -- внешний интерфейс) и ко всему этому надо применять NAT, то бишь трансляцию адресов. Ну примерно так, если не получиться разобраться покажи скриншот, так понятней будет в чем проблема. |
Прошу помощи
Вложений: 1
Не прошла еще неделя как поставил себе керио. С хелпером в руке и горячим желанием вроде немного стал понимать что и как, однако прошу разъяснений. Хочется удостовериться правильно я понимаю это правило
1 - Называется NAT, 2 - работает для локальных компьютеров 3 - выходящих в интернет 4 - по протоколам (по списку) 5 - Активно 6 - отображать в логе пакеты и соединения (не включено) 7 - работает перенаправление по умолчанию на внешний интерфейс. То есто в инет |
Alex Dark, ну в общем да, все верно. А какие проблемы?
|
Цитата:
Если я создал правило Source: Internet Destination: Firewall Service: TCP4901 Translation: MAP 192.168.???.???:4899 оно должно открывать доступ из инета при обращении на порт 4901 к компу 192.168.???.???:4899 для rAdmin, или по русски При подключении из инета на порт 4901подключать rAdmin на указанный комп локальной сети или же Source: Internet Destination: Firewall Service: rAdmin4900 (описано в сервисах протокол TCP Protokol inspector:NONE Source port 4900, Destination Port 4899) Translation: MAP 192.168.???.???:4899 так же должно открывать доступ из инета при обращении на порт 4900 к компу 192.168.???.???:4899 для rAdmin Если это все правильно, то почему нет доступа Не понял в Логах->filter запись Код:
01/Feb/2007 01:57:36] DROP malformed IP packet from Internet, proto:17, len:328, ip:0.0.0.0 -> 83.143.65.5, plen:308 |
Alex Dark, для открытия порта из вне импоьлзуется именно MAP. Сверху должно стоять No Translation, снизу, Translate to.
|
Вложений: 3
в результате пользования Kerio DHCP, его падения и дальнейшего подключения DHCP на другой машине - в итоге имею, куча IP адресов не такие как раньше, пользователей слишком много, чтобы опять вручную настраивать IP адреса. Как разграничить, чтобы через шлюз все смогли нормально в нет выходить? Как сделать аутентификацию без участия IP адреса?
на скринах 1) Настройки аутентификации юзеров 2) Маппинг 3) Настройки юзера. Вопрос: как правильно сделать? |
Mozart_mcs, поиск рулит:
http://www.imho.ws/showpost.php?p=13...postcount=1406 |
скриншоты
Я еще поизвращался, ввиду всего вышесказанного )
http://photo.odnoklassniki.ru/i/2007...be0068cbb8.jpg правая часть http://photo.odnoklassniki.ru/i/2007...20610826a4.jpg может не нужны какие то из правил, я особенно запрещать там ничего не хочу |
Цитата:
И с 3-м правилом, что-то непонятно, получается что на шлюзе у тебя Айсикью сервер. Причем если даже так, все равно в правиле Локал траффик все соединения разрешены |
мне необходимо избавиться от необходимости использовать проксю для qip и https и также для 2000 и 3000 портов, ради которых собственно и были написаны 3 верхних правила (возможно криво).
и еще момент, прокся не нужна если отключить слежение? |
Цитата:
Цитата:
|
я хочу сказать что их я написал в целях чтобы заработало без прокси сервера, ИМХО они ни на что не влияют
слежение: protocol inspector |
Цитата:
|
Вложений: 1
еще раз хочу спросить то что спрашивал несколько постов назад, так как различные эксперименты результата не дали. Сделал еще и скрины.
Задача: из локально сети с компа (IP:120) подключиться через шлюз (IP:151) по rAdmin к машине локальной сети (IP:90) Для чего так сложно? Что бы потом заменить локальное соединение соединением из инета и получить доступ из инета к локальной машине через rAdmin Экспериментируя создал два правила. По логике они должны выполнять одно и тоже. Однако если подключаться через второе, то сразу вываливается "нельзя подключиться к серверу". При подключении через первое сначала окно "идет подключение" а через 5-10 сек вываливается "нельзя подключиться к серверу" |
смотрел в соединениях. Мое соединение отражается.
Проверил простое соединение с IP:120 на IP:151 работает С IP:151 на IP:90 работает Может кроме этого правила нужно что то еще. Тогда что? |
Цитата:
|
Alex Dark, чтобы снаружи поапсть радмином на машину в сети, в винроуте создаешь правило - сорс - внешняя сеть, дестинейшн - хост винроута, порт радмина (4899 или какой сделаешь) - и транслировать на айпишник локальной машины.
Собсна, точно также мапируется любой сервис - http, ftp, pop, smtp, etc... |
Цитата:
При подключении он сначала просит мой пароль потом пароль др машины. А свою открывать нет желания добавлено через 26 минут Цитата:
Там что то не правильно? Когда я смотрю по соединению, то вижу Название моего правила, порт 4899/TCP, Source: IP моего компа, Destination IP компа к которому подключаюсь порты источник (каждый раз разные) и назначение 4899 У меня на экране - Соединение. Потом Нельза подсоединиться к серверу добавлено через 2 минуты При чем к нужной машине подключиться через рАдмин с моей или со шлюза можно без проблемм |
Alex Dark, неверно.
у тебя сорсом стоит локальная сеть, а должен стоять - интерфейс, с которого сосется интернет. а также ты чего-то мудришь с портами - попробуй не 4900, а что-нить вроде 5002 везде. И еще - отруби фаервол на конечной машине |
Цитата:
Цитата:
Экспериментирую дальше |
Народ! подскажите пожалуйста решение:
В Kerio Winroute 6.2.3-2027 в настройках HTTP-chache нет параметра {Max HTTP object size}, а по умолчанию в кэш сохраняются файлы меньше 500кб. На сайте Kerio сказано, что чаще всего используются мелкие файлы, а большие скачиваются только 1 раз, и мол сохранять их не имеет смысла... Но у меня юзеры тянут с интернета много больших файлов, которые обновляются не часто (картинки с картами погоды весят > 2МБ) и если их брать из кэша будет экономиться ОЧЕНЬ много траффика (~80%). Вносил изменения руками в файл winroute.cfg (там есть этот параметр), но тогда кэш не работает, а winroute ругается на неправильный размер HTTP object size и этот параметр удаляет. Может кто знает как сохранять в кэш винроута большие файлы? (места на диске не жалко) |
Доброго времени суток
Как не странно, но проблему решил отключением перенаправления порта. т.е. оставил только маппинг на др IP. И соответственно настройкой рАдмина на другой порт. Получилось может не так красиво как хотелось. |
Цитата:
|
Решил немного облагородить свой winrouter
Имею две группы людей. Одним можно ходить в инет другим нельзя. Настроил все работает. Однако для тех кому нельзя выдается Цитата:
Правила доступа не эти сайты сделал. тут все железно работает. добавлено через 1 минуту Неужели есть только 3 варианта 1 Тот что есть сейчас 2 пустой экран 3 переадресация на др сайт в инете |
Цитата:
|
Цитата:
<table name="Cache"> ................................ <variable name="MaxHttpSize">512</variable> ................................. </table> При установке числа больше 512 (например 1024 или 2048 и др.) Винроут орёт в логах, что параметр неверный и http-кэш работать не будет. При этом в конфиг пишет снова 512 кб :confused: <конФИГ!> добавлено через 18 минут Цитата:
2. Создай файл со списком разрешённых сайтов (напр. c:\sites.html) 3. Сделай в HTTP Policy правило, запрещающее выбраным юзерам ходить в инет (в поле URL begins with пиши *). На вкладке Advanced надо задать Redirect to url на свой локальный файл со списком разрешённых сайтов (напр. file://c:\sites.html). Далее в HTTP Policy создай правило, разрешающее выбраным юзерам ходить по адресам из c:\sites.html и помести его на верх. В результате при запросе сайта НЕ из разрешённых сработает запрещающее правило, юзер увидит файл c:\sites.html и при запросе любой ссылки из этого файла сработает разрешающее правило и всё будет ОК. |
Цитата:
знать бы где лежит "Обратитесь к администратору" дописал-бы туда для начала |
Alex Dark, Вроде как тут: Kerio\WinRoute Firewall\weblang\ файлы с расширением res.
|
Cartman да это здесь. Но только в DEF. Но эксперименты результата не дали. При изменении стандартных записей керио подсовывает по английски фразу "чего то там не то..."
|
Цитата:
|
baron386 респект
заработало. папку расшарить пришлось - факт. :claps: |
че то странное со статистикой творится.
почему когда в правиле NAT включены сервисы HTTP, POP и тд то пользователи ломятся без всяких настроек прокси в броузерах. это понятно - для этого НАТ и нужен, но вот не понятно почему не считается статистика по каждому юзеру, а прибавляется только к тому, на ком стоит Firewall. обязательная авторизация стоит у пользователей, пользователи прописаны. статистика для каждого пользователя тоже стоит галка. когда ставлю в броузере адрес прокси сервера, то все нормально статистика начинает считаться по пользователям. это глюк или так и должно быть? т.е если я хочу считать статистику каждого пользователя, то мне нужно POP, HTTP, HTTPS, ICQ и тд. отключить в правиле NAT тем самым пускать их чз прокси? KWF 6.3.1.2027 |
Вложений: 1
Цитата:
У меня это выглядит так: Вложение 54319 и идёт статистика по каждому пользователю. |
| Часовой пояс GMT +4, время: 17:23. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.