Универсальное, ИМХО, решение в подобных случаях:12.08.08 14:08 Число просмотров: 2928 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 12.08.08 14:14 Количество правок: 1
> Файр глючит? Сложно сказать, когда-то давно отученный от денег керио вытварял что-то подобное, по детству было списано на умность керио и недоделанный кряк :). После переустановки (и переруливания всех правил (!)) всё заработало.
> Стоит погасить файр -- всё бегает. Когда руками указал имя > сервера и порт -- начало бегать... недолго. Это как - недолго? :)
> telnet pop.mail.ru 110 > заканчиваются ничем. Универсальное, ИМХО, решение в подобных случаях (а вернее даже 2):
1) включить протоколирование для всех правил, добиться некорректной работы и посмотреть в логи
2) (не совсем корректно с . зрения безопасности) после претворения в жизнь решения 1 - отключить все правила кроме allow any to any log, затем добавлять правила по одному и при появлении некорректной работы опять-таки смотреть логи
Есть терминальный сервер, установленный на площадке провайдера. Изнутри открыты все порты на мир. Объясните кто-нибудь, какого фига Аутлук не может сконнектиться с pop.mail.ru? СМТП бегает, mail.ru пингуется, но попытки сделать
telnet pop.mail.ru 110
заканчиваются ничем.
Стоит погасить файр -- всё бегает. Когда руками указал имя сервера и порт -- начало бегать... недолго.
Файр глючит?
Башка пухнет. :(01.09.08 11:42 Автор: Lurga Статус: Elderman
Плюс ко всей веселухе решили запустить на этом сервере две Майкрософт виртуал ПС 2007 с ХР на предмет запуска на них клиент-банков. Поднимаю, понятное дело, на сервере лупбэк-адаптеры в количестве равном количеству виртуальных машин плюс ещё один для ВПН-сервера (почему-то коннектиться к Цитриксу оно у меня согласилось только на таких условиях). Если выставить в свойствах любого лупбэк-адаптера поддержку Керио файрволла, то не получается сконнектиться с Цитрикс-сервером, если отключить -- на виртуалках сдыхает И-нет, и невозможно на них залезть по РДП...
Непонятно, зачем ты вообще поднимал loopback адаптеры... На чем виртуализация?01.09.08 11:48 Автор: Den <Денис Т.> Статус: The Elderman
После поднятия лупбэков завёлся таки Цитрикс и стало возможно через ВПН по РДП лезть на виртуалки. Предполагаю, что реализация корявая, но хоть как-то работает.
ЗЫ Впервые таким извратом занимаюсь. :(
Прописывал в KWF разрешающие правила между "петлями"? [upd]01.09.08 12:00 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 01.09.08 12:13 Количество правок: 1
[upd]
Если грамотно прописаны правила для LAN и WAN интерфейсов, то можно и не включать обслуживание петель на KWF - лишняя нагрузка.
Например условное правило типа:
permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) from firewall | any(in recv LAN) to firewall
должно дать возможность подключаться из локальной сети и самого сервера к указанным службам на любой адаптер сервера.
То есть01.09.08 12:33 Автор: Lurga Статус: Elderman
> [upd] > Если грамотно прописаны правила для LAN и WAN интерфейсов, > то можно и не включать обслуживание петель на KWF - лишняя > нагрузка. > Например условное правило типа: > permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) > from firewall | any(in recv LAN) to firewall > должно дать возможность подключаться из локальной сети и > самого сервера к указанным службам на любой адаптер > сервера. правило вида
permit any from firewall | LAN to firewall
должно работать?
Да01.09.08 12:34 Автор: Den <Денис Т.> Статус: The Elderman
Нифига - это как?
Что пишут логи при попытке пинга, телнета из одной подсети в другую?
Господи...
1) Выкини осмысленный кусок логов
2) Выкини набор правил (с указанием статусов NAT в частности)
И будет щастье скорее всего
Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок...01.09.08 12:06 Автор: Lurga Статус: Elderman
Значить, Виндовс 2003, на нём ВПН-сервер, поднятый родными средствами (к нему есть доступ из И-нета), и Цитрикс 4.0 (за Керио файрволлом). К серверу дан полный доступ для сети ВПН, но Цитрикс не виден. :(
Подскажите, пжалста, что делать с этим безобразием. ВТорой день воюю.
Неужели керио не пишет логов. Есть блокировки или разрешения в записях лога? Как вообще в керио отлажиать правила?22.08.08 11:55 Автор: Garick <Yuriy> Статус: Elderman Отредактировано 22.08.08 13:08 Количество правок: 1
Где именно установлен Kerio - на VPN шлюзе (вместе со связкой Win2k3+VPN(IPSec)), или на терминальном сервере, или где-то между VPN шлюзом и терминальным сервером.
> Где именно установлен Kerio - на VPN шлюзе (вместе со > связкой Win2k3+VPN(IPSec)), или на терминальном сервере, > или где-то между VPN шлюзом и терминальным сервером. Всё установлено на одном сервере. Коннект с ВПН происходит замечательно -- сервер пингуется как зверь. Проблема именно в том, что, при попытке соединения с Цитриксом сервер меня посылает нафиг -- не вижу, говорит, никакого Цитриксовского сервера. Если отрубить файрволл, то коннектится с песней.
А для диапазона IP, которые раздаются VPN-клиентам, правила написаны? Под какое правило попадают их пакеты (см лог)?22.08.08 11:39 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 22.08.08 11:41 Количество правок: 1
Всё завелось после того, как поменял версию файрволла и прибил сканнер почты в НОДе. Всем спасибо.
У керио есть фильтр на почту с АВ. По видимому, НОД и керио не поделили порт :) Логи должны были показать. У кого то (керио вероятно) были бы записи о невозможности занять порт.18.08.08 15:07 Автор: Garick <Yuriy> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
