Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Керио файрволл колбасит... 12.08.08 12:00
Автор: Lurga Статус: Elderman
|
Есть терминальный сервер, установленный на площадке провайдера. Изнутри открыты все порты на мир. Объясните кто-нибудь, какого фига Аутлук не может сконнектиться с pop.mail.ru? СМТП бегает, mail.ru пингуется, но попытки сделать
telnet pop.mail.ru 110
заканчиваются ничем.
Стоит погасить файр -- всё бегает. Когда руками указал имя сервера и порт -- начало бегать... недолго.
Файр глючит?
|
|
Башка пухнет. :( 01.09.08 11:42
Автор: Lurga Статус: Elderman
|
Плюс ко всей веселухе решили запустить на этом сервере две Майкрософт виртуал ПС 2007 с ХР на предмет запуска на них клиент-банков. Поднимаю, понятное дело, на сервере лупбэк-адаптеры в количестве равном количеству виртуальных машин плюс ещё один для ВПН-сервера (почему-то коннектиться к Цитриксу оно у меня согласилось только на таких условиях). Если выставить в свойствах любого лупбэк-адаптера поддержку Керио файрволла, то не получается сконнектиться с Цитрикс-сервером, если отключить -- на виртуалках сдыхает И-нет, и невозможно на них залезть по РДП...
|
| |
Непонятно, зачем ты вообще поднимал loopback адаптеры... На чем виртуализация? 01.09.08 11:48
Автор: Den <Denis> Статус: The Elderman
|
|
| | |
Microsoft Virtual PC 2007. 01.09.08 11:56
Автор: Lurga Статус: Elderman
|
После поднятия лупбэков завёлся таки Цитрикс и стало возможно через ВПН по РДП лезть на виртуалки. Предполагаю, что реализация корявая, но хоть как-то работает.
ЗЫ Впервые таким извратом занимаюсь. :(
|
| | | |
Прописывал в KWF разрешающие правила между "петлями"? [upd] 01.09.08 12:00
Автор: Den <Denis> Статус: The Elderman Отредактировано 01.09.08 12:13 Количество правок: 1
|
[upd]
Если грамотно прописаны правила для LAN и WAN интерфейсов, то можно и не включать обслуживание петель на KWF - лишняя нагрузка.
Например условное правило типа:
permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) from firewall | any(in recv LAN) to firewall
должно дать возможность подключаться из локальной сети и самого сервера к указанным службам на любой адаптер сервера.
|
| | | | |
То есть 01.09.08 12:33
Автор: Lurga Статус: Elderman
|
> [upd] > Если грамотно прописаны правила для LAN и WAN интерфейсов, > то можно и не включать обслуживание петель на KWF - лишняя > нагрузка. > Например условное правило типа: > permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) > from firewall | any(in recv LAN) to firewall > должно дать возможность подключаться из локальной сети и > самого сервера к указанным службам на любой адаптер > сервера. правило вида
permit any from firewall | LAN to firewall
должно работать?
|
| | | | | |
Да 01.09.08 12:34
Автор: Den <Denis> Статус: The Elderman
|
|
| | | | | | |
:( 02.09.08 12:34
Автор: Lurga Статус: Elderman
|
Прописал это правило, нифига. :( Тупо указал доступ от одного лупбэк-интерфейса к другому -- опять нифига. Ужос. :(
|
| | | | | | | |
Re: :( 02.09.08 12:55
Автор: Ustin <Ustin> Статус: Elderman
|
Нифига - это как?
Что пишут логи при попытке пинга, телнета из одной подсети в другую?
Господи...
1) Выкини осмысленный кусок логов
2) Выкини набор правил (с указанием статусов NAT в частности)
И будет щастье скорее всего
|
| | | | |
Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок... 01.09.08 12:06
Автор: Lurga Статус: Elderman
|
Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок. Для неё дан доступ повсюду. Или нужно разрешить обращение между петлями?
|
| | | | | |
Не обязательно использовать диапазон адресов подсети. 01.09.08 12:17
Автор: Den <Denis> Статус: The Elderman
|
> Там сетка одна, вида 192.168.131.0 для ВПН и двух > виртуалок. Для неё дан доступ повсюду. Или нужно разрешить > обращение между петлями?
Не обязательно использовать диапазон адресов подсети.
В твоем случае для правил лучше использовать адаптеры в качестве источников/получателей пакетов.
|
|
И опять Керио файрволл. :( 22.08.08 10:45
Автор: Lurga Статус: Elderman
|
Только ситуация уже другая.
Значить, Виндовс 2003, на нём ВПН-сервер, поднятый родными средствами (к нему есть доступ из И-нета), и Цитрикс 4.0 (за Керио файрволлом). К серверу дан полный доступ для сети ВПН, но Цитрикс не виден. :(
Подскажите, пжалста, что делать с этим безобразием. ВТорой день воюю.
|
| |
Неужели керио не пишет логов. Есть блокировки или разрешения в записях лога? Как вообще в керио отлажиать правила? 22.08.08 11:55
Автор: Garick <Yuriy> Статус: Elderman Отредактировано 22.08.08 13:08 Количество правок: 1
|
|
| |
Не совсем ясна схема. 22.08.08 11:00
Автор: Den <Denis> Статус: The Elderman
|
Где именно установлен Kerio - на VPN шлюзе (вместе со связкой Win2k3+VPN(IPSec)), или на терминальном сервере, или где-то между VPN шлюзом и терминальным сервером.
Посмотри здесь:
http://bugtraq.ru/forum/full/2006/networking/133894.html
|
| | |
Невнятно написал. 22.08.08 11:07
Автор: Lurga Статус: Elderman
|
> Где именно установлен Kerio - на VPN шлюзе (вместе со > связкой Win2k3+VPN(IPSec)), или на терминальном сервере, > или где-то между VPN шлюзом и терминальным сервером. Всё установлено на одном сервере. Коннект с ВПН происходит замечательно -- сервер пингуется как зверь. Проблема именно в том, что, при попытке соединения с Цитриксом сервер меня посылает нафиг -- не вижу, говорит, никакого Цитриксовского сервера. Если отрубить файрволл, то коннектится с песней.
|
| | | |
А для диапазона IP, которые раздаются VPN-клиентам, правила написаны? Под какое правило попадают их пакеты (см лог)? 22.08.08 11:39
Автор: Ustin <Ustin> Статус: Elderman Отредактировано 22.08.08 11:41 Количество правок: 1
|
|
| | | |
как прописаны правила относительно службы Citrix? 22.08.08 11:17
Автор: Den <Denis> Статус: The Elderman
|
поставь журналирование на запрещающем правиле и посмотри, что в логах при попытке соединиться с Цитриксом.
|
|
Ужос. 18.08.08 11:48
Автор: Lurga Статус: Elderman
|
Всё завелось после того, как поменял версию файрволла и прибил сканнер почты в НОДе. Всем спасибо.
|
| |
У керио есть фильтр на почту с АВ. По видимому, НОД и керио не поделили порт :) Логи должны были показать. У кого то (керио вероятно) были бы записи о невозможности занять порт. 18.08.08 15:07
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
Winroute.cfg в студию! 12.08.08 14:27
Автор: Den <Denis> Статус: The Elderman
|
|
|
|