информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / networking		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
	software
	hardware
	networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

	Winroute.cfg в студию! 12.08.08 14:27  Число просмотров: 3486 Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
	<networking>

Керио файрволл колбасит... 12.08.08 12:00   Автор: Lurga Статус: Elderman <"чистая" ссылка>

Есть терминальный сервер, установленный на площадке провайдера. Изнутри открыты все порты на мир. Объясните кто-нибудь, какого фига Аутлук не может сконнектиться с pop.mail.ru? СМТП бегает, mail.ru пингуется, но попытки сделать telnet pop.mail.ru 110 заканчиваются ничем. Стоит погасить файр -- всё бегает. Когда руками указал имя сервера и порт -- начало бегать... недолго. Файр глючит?

Башка пухнет. :( 01.09.08 11:42   Автор: Lurga Статус: Elderman <"чистая" ссылка>

Плюс ко всей веселухе решили запустить на этом сервере две Майкрософт виртуал ПС 2007 с ХР на предмет запуска на них клиент-банков. Поднимаю, понятное дело, на сервере лупбэк-адаптеры в количестве равном количеству виртуальных машин плюс ещё один для ВПН-сервера (почему-то коннектиться к Цитриксу оно у меня согласилось только на таких условиях). Если выставить в свойствах любого лупбэк-адаптера поддержку Керио файрволла, то не получается сконнектиться с Цитрикс-сервером, если отключить -- на виртуалках сдыхает И-нет, и невозможно на них залезть по РДП...

		Непонятно, зачем ты вообще поднимал loopback адаптеры... На чем виртуализация? 01.09.08 11:48   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>

			Microsoft Virtual PC 2007. 01.09.08 11:56   Автор: Lurga Статус: Elderman <"чистая" ссылка>
			После поднятия лупбэков завёлся таки Цитрикс и стало возможно через ВПН по РДП лезть на виртуалки. Предполагаю, что реализация корявая, но хоть как-то работает. ЗЫ Впервые таким извратом занимаюсь. :(

				Прописывал в KWF разрешающие правила между "петлями"? [upd] 01.09.08 12:00   Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 01.09.08 12:13  Количество правок: 1 <"чистая" ссылка>
				[upd] Если грамотно прописаны правила для LAN и WAN интерфейсов, то можно и не включать обслуживание петель на KWF - лишняя нагрузка. Например условное правило типа: permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) from firewall | any(in recv LAN) to firewall должно дать возможность подключаться из локальной сети и самого сервера к указанным службам на любой адаптер сервера.

					То есть 01.09.08 12:33   Автор: Lurga Статус: Elderman <"чистая" ссылка>
					> [upd] > Если грамотно прописаны правила для LAN и WAN интерфейсов, > то можно и не включать обслуживание петель на KWF - лишняя > нагрузка. > Например условное правило типа: > permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) > from firewall | any(in recv LAN) to firewall > должно дать возможность подключаться из локальной сети и > самого сервера к указанным службам на любой адаптер > сервера. правило вида permit any from firewall | LAN to firewall должно работать?

						Да 01.09.08 12:34   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>

							:( 02.09.08 12:34   Автор: Lurga Статус: Elderman <"чистая" ссылка>
							Прописал это правило, нифига. :( Тупо указал доступ от одного лупбэк-интерфейса к другому -- опять нифига. Ужос. :(

								Re: :( 02.09.08 12:55   Автор: Ustin <Ustin> Статус: Elderman <"чистая" ссылка>
								Нифига - это как? Что пишут логи при попытке пинга, телнета из одной подсети в другую? Господи... 1) Выкини осмысленный кусок логов 2) Выкини набор правил (с указанием статусов NAT в частности) И будет щастье скорее всего

					Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок... 01.09.08 12:06   Автор: Lurga Статус: Elderman <"чистая" ссылка>
					Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок. Для неё дан доступ повсюду. Или нужно разрешить обращение между петлями?

						Не обязательно использовать диапазон адресов подсети. 01.09.08 12:17   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
						> Там сетка одна, вида 192.168.131.0 для ВПН и двух > виртуалок. Для неё дан доступ повсюду. Или нужно разрешить > обращение между петлями? Не обязательно использовать диапазон адресов подсети. В твоем случае для правил лучше использовать адаптеры в качестве источников/получателей пакетов.

	И опять Керио файрволл. :( 22.08.08 10:45   Автор: Lurga Статус: Elderman <"чистая" ссылка>
	Только ситуация уже другая. Значить, Виндовс 2003, на нём ВПН-сервер, поднятый родными средствами (к нему есть доступ из И-нета), и Цитрикс 4.0 (за Керио файрволлом). К серверу дан полный доступ для сети ВПН, но Цитрикс не виден. :( Подскажите, пжалста, что делать с этим безобразием. ВТорой день воюю.

		Неужели керио не пишет логов. Есть блокировки или разрешения в записях лога? Как вообще в керио отлажиать правила? 22.08.08 11:55   Автор: Garick <Yuriy> Статус: Elderman Отредактировано 22.08.08 13:08  Количество правок: 1 <"чистая" ссылка>

		Не совсем ясна схема. 22.08.08 11:00   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
		Где именно установлен Kerio - на VPN шлюзе (вместе со связкой Win2k3+VPN(IPSec)), или на терминальном сервере, или где-то между VPN шлюзом и терминальным сервером. Посмотри здесь: http://bugtraq.ru/forum/full/2006/networking/133894.html

			Невнятно написал. 22.08.08 11:07   Автор: Lurga Статус: Elderman <"чистая" ссылка>
			> Где именно установлен Kerio - на VPN шлюзе (вместе со > связкой Win2k3+VPN(IPSec)), или на терминальном сервере, > или где-то между VPN шлюзом и терминальным сервером. Всё установлено на одном сервере. Коннект с ВПН происходит замечательно -- сервер пингуется как зверь. Проблема именно в том, что, при попытке соединения с Цитриксом сервер меня посылает нафиг -- не вижу, говорит, никакого Цитриксовского сервера. Если отрубить файрволл, то коннектится с песней.

				А для диапазона IP, которые раздаются VPN-клиентам, правила написаны? Под какое правило попадают их пакеты (см лог)? 22.08.08 11:39   Автор: Ustin <Ustin> Статус: Elderman Отредактировано 22.08.08 11:41  Количество правок: 1 <"чистая" ссылка>

				как прописаны правила относительно службы Citrix? 22.08.08 11:17   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
				поставь журналирование на запрещающем правиле и посмотри, что в логах при попытке соединиться с Цитриксом.

	Ужос. 18.08.08 11:48   Автор: Lurga Статус: Elderman <"чистая" ссылка>
	Всё завелось после того, как поменял версию файрволла и прибил сканнер почты в НОДе. Всем спасибо.

		У керио есть фильтр на почту с АВ. По видимому, НОД и керио не поделили порт :) Логи должны были показать. У кого то (керио вероятно) были бы записи о невозможности занять порт. 18.08.08 15:07   Автор: Garick <Yuriy> Статус: Elderman <"чистая" ссылка>

	Winroute.cfg в студию! 12.08.08 14:27   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>

1  |  2   »

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach