информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
как прописаны правила относительно службы Citrix? 22.08.08 11:17  Число просмотров: 2378
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
поставь журналирование на запрещающем правиле и посмотри, что в логах при попытке соединиться с Цитриксом.
<networking>
Керио файрволл колбасит... 12.08.08 12:00  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Есть терминальный сервер, установленный на площадке провайдера. Изнутри открыты все порты на мир. Объясните кто-нибудь, какого фига Аутлук не может сконнектиться с pop.mail.ru? СМТП бегает, mail.ru пингуется, но попытки сделать
telnet pop.mail.ru 110
заканчиваются ничем.
Стоит погасить файр -- всё бегает. Когда руками указал имя сервера и порт -- начало бегать... недолго.
Файр глючит?
Башка пухнет. :( 01.09.08 11:42  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Плюс ко всей веселухе решили запустить на этом сервере две Майкрософт виртуал ПС 2007 с ХР на предмет запуска на них клиент-банков. Поднимаю, понятное дело, на сервере лупбэк-адаптеры в количестве равном количеству виртуальных машин плюс ещё один для ВПН-сервера (почему-то коннектиться к Цитриксу оно у меня согласилось только на таких условиях). Если выставить в свойствах любого лупбэк-адаптера поддержку Керио файрволла, то не получается сконнектиться с Цитрикс-сервером, если отключить -- на виртуалках сдыхает И-нет, и невозможно на них залезть по РДП...
Непонятно, зачем ты вообще поднимал loopback адаптеры... На чем виртуализация? 01.09.08 11:48  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Microsoft Virtual PC 2007. 01.09.08 11:56  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
После поднятия лупбэков завёлся таки Цитрикс и стало возможно через ВПН по РДП лезть на виртуалки. Предполагаю, что реализация корявая, но хоть как-то работает.

ЗЫ Впервые таким извратом занимаюсь. :(
Прописывал в KWF разрешающие правила между "петлями"? [upd] 01.09.08 12:00  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 01.09.08 12:13  Количество правок: 1
<"чистая" ссылка>
[upd]
Если грамотно прописаны правила для LAN и WAN интерфейсов, то можно и не включать обслуживание петель на KWF - лишняя нагрузка.
Например условное правило типа:
permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP) from firewall | any(in recv LAN) to firewall
должно дать возможность подключаться из локальной сети и самого сервера к указанным службам на любой адаптер сервера.
То есть 01.09.08 12:33  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> [upd]
> Если грамотно прописаны правила для LAN и WAN интерфейсов,
> то можно и не включать обслуживание петель на KWF - лишняя
> нагрузка.
> Например условное правило типа:
> permit (DHCP,DNS,DS,NetBIOS,NTP,Ping,RPC allocated,RDP)
> from firewall | any(in recv LAN) to firewall
> должно дать возможность подключаться из локальной сети и
> самого сервера к указанным службам на любой адаптер
> сервера.
правило вида
permit any from firewall | LAN to firewall
должно работать?
Да 01.09.08 12:34  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
:( 02.09.08 12:34  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Прописал это правило, нифига. :( Тупо указал доступ от одного лупбэк-интерфейса к другому -- опять нифига. Ужос. :(
Re: :( 02.09.08 12:55  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Нифига - это как?
Что пишут логи при попытке пинга, телнета из одной подсети в другую?
Господи...
1) Выкини осмысленный кусок логов
2) Выкини набор правил (с указанием статусов NAT в частности)
И будет щастье скорее всего
Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок... 01.09.08 12:06  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Там сетка одна, вида 192.168.131.0 для ВПН и двух виртуалок. Для неё дан доступ повсюду. Или нужно разрешить обращение между петлями?
Не обязательно использовать диапазон адресов подсети. 01.09.08 12:17  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Там сетка одна, вида 192.168.131.0 для ВПН и двух
> виртуалок. Для неё дан доступ повсюду. Или нужно разрешить
> обращение между петлями?

Не обязательно использовать диапазон адресов подсети.
В твоем случае для правил лучше использовать адаптеры в качестве источников/получателей пакетов.
И опять Керио файрволл. :( 22.08.08 10:45  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Только ситуация уже другая.

Значить, Виндовс 2003, на нём ВПН-сервер, поднятый родными средствами (к нему есть доступ из И-нета), и Цитрикс 4.0 (за Керио файрволлом). К серверу дан полный доступ для сети ВПН, но Цитрикс не виден. :(

Подскажите, пжалста, что делать с этим безобразием. ВТорой день воюю.
Неужели керио не пишет логов. Есть блокировки или разрешения в записях лога? Как вообще в керио отлажиать правила? 22.08.08 11:55  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 22.08.08 13:08  Количество правок: 1
<"чистая" ссылка>
Не совсем ясна схема. 22.08.08 11:00  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Где именно установлен Kerio - на VPN шлюзе (вместе со связкой Win2k3+VPN(IPSec)), или на терминальном сервере, или где-то между VPN шлюзом и терминальным сервером.

Посмотри здесь:
http://bugtraq.ru/forum/full/2006/networking/133894.html
Невнятно написал. 22.08.08 11:07  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> Где именно установлен Kerio - на VPN шлюзе (вместе со
> связкой Win2k3+VPN(IPSec)), или на терминальном сервере,
> или где-то между VPN шлюзом и терминальным сервером.
Всё установлено на одном сервере. Коннект с ВПН происходит замечательно -- сервер пингуется как зверь. Проблема именно в том, что, при попытке соединения с Цитриксом сервер меня посылает нафиг -- не вижу, говорит, никакого Цитриксовского сервера. Если отрубить файрволл, то коннектится с песней.
А для диапазона IP, которые раздаются VPN-клиентам, правила написаны? Под какое правило попадают их пакеты (см лог)? 22.08.08 11:39  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.08.08 11:41  Количество правок: 1
<"чистая" ссылка>
как прописаны правила относительно службы Citrix? 22.08.08 11:17  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
поставь журналирование на запрещающем правиле и посмотри, что в логах при попытке соединиться с Цитриксом.
Ужос. 18.08.08 11:48  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Всё завелось после того, как поменял версию файрволла и прибил сканнер почты в НОДе. Всем спасибо.
У керио есть фильтр на почту с АВ. По видимому, НОД и керио не поделили порт :) Логи должны были показать. У кого то (керио вероятно) были бы записи о невозможности занять порт. 18.08.08 15:07  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Winroute.cfg в студию! 12.08.08 14:27  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach