Форум Краматорська
Краматорськ та світ навколо нас => Компьютеры, мобилки, софт, Интернет, провайдеры => Тема розпочата: karLos від 10 Березня 2008, 21:44:41
-
Собственно, проблема в следующем:
Есть два компьютера, в одном из них две сетевых карты. Одна смотрит в инет, другая во второй компьютер. На том компьютере, где 2 карты, установлен Kerio WinRoute Firewall.
Правила следующие:
ICMP firewall -> any "ping" PERMIT
NAT Сетевая карта 2 -> Сетевая карта 1 DNS,FTP,HTTP,HTTPS,ICQ,Telnet,Pop3,smtp PERMIT NAT SETTING = Translate to IP address of outgoing inteface
Local traffic Firewall -> Сетевая карта 2 ANY PERMIT
Firewall traffic Firewall -> Сетевая карта 1 DNS,FTP,HTTP,HTTPS,ICQ,Telnet,Pop3,smtp PERMIT
Ident Сетевая карта 1 -> Firewall Ident Deny
Default rule ANY -> ANY ANY Drop
Инет и аська работает везде. Почта (pop3/smtp) не работает НИГДЕ :(
То, что ручки из... понятно :) Но может кто чего толкового подскажет :)
Отправленный на: Марта 10, 2008, 21:40:50
В логах есть вот это :(
DENY "Firewall traffic" packet to Сетевая карта 1, proto:TCP, len:48, ip/port:10.*.*.*,:4221 -> 195.189.226.175:110, flags: SYN , seq:288962500 ack:0, win:65535, tcplen:0
-
Открой порты 25 и 110.
Из лога я понял, что 110 порт у тебя закрыт.
Пропиши их отдельно просто, а то хз что Керио вместо POP3 и SMTP подставляет. Судя по логам вместо POP3 точно не 110 порт.
Если почта на GMAIL, там другие порты надо открывать.
-
Не помогает. Открыл 110 порт.
DENY "Firewall Traffic" packet to Сетевая карта 1, proto:TCP, len:48, ip/port:10.*.*.*:1824 -> 195.189.226.175:110, flags: SYN , seq:45870115 ack:0, win:65535, tcplen:0
-
А можно вопрос? На какой операционке всё это происходит? Винда? Если XP, то на фига нужен Kerio, если у неё есть встроенный Internet Connection Sharing + Firewall?
-
А можно вопрос? На какой операционке всё это происходит? Винда? Если XP, то на фига нужен Kerio, если у неё есть встроенный Internet Connection Sharing + Firewall?
"Использование занавески не заменяет дверь" -> Internet Connection Sharing + Firewal - весьма иллюзорная защита. :(
-
а керио винраут ну просто танковая броня, так?
-
Насколько я помню, то единственное что не было "пробито" - это Cisco ASA.
p.s. А вот WinRoute я бы с ICS даже не сравнивал - ибо ICS ацтой полный.
-
угу, то для тебя он ацтой, а люди почту пропустить не могут...
-
угу, то для тебя он ацтой, а люди почту пропустить не могут...
Ну так не ICS-ом же... - люди знают что он ацтой...
-
А почему в Локал трафик написано
Local traffic Firewall -> Сетевая карта 2 ANY PERMIT
а не
Local traffic Firewall -> Сетевая карта 2 ANY PERMIT
Сетевая карта 2 -> Firewall
-
Э... Так и есть. Это я ошибся когда переносил на форум. Конечно, и от Сетевая карта 2 к Firewall тоже разрешено.
-
А еще такой вопрос, инет валится прямо на сетевую (Датасвит)? безо всяких PPPoE, VPN?
-
Да, напрямую. Сетевая карта 1 смотрит прямо туда.
-
А можно вопрос? На какой операционке всё это происходит? Винда? Если XP, то на фига нужен Kerio, если у неё есть встроенный Internet Connection Sharing + Firewall?
"Использование занавески не заменяет дверь" -> Internet Connection Sharing + Firewal - весьма иллюзорная защита. :(
Во-первых, ICS -- это не "защита", а раздача трафика по сети. Во-вторых, что с виндовым файрволлом не так? Который год пользуюсь и проблем не знаю.
-
Name Source Destination Service
Local Traffic Firewall Firewall Any
Comp1 Comp1
Firewall в инет Firewall Inet Any
Comp1 в инет Comp1 Inet Any (NAT)
При данном наборе правил должно всё работать. Для проверки поставь сервисы Any потом поменяешь.
Если всё равно не заработает отключи Protocol Inspector на 25 и 110 портах.
-
...
Инет и аська работает везде. Почта (pop3/smtp) не работает НИГДЕ :(
Кстати а по фтп что-нить пробовалось качать(вопрос немного не по теме, но ведь и проблема порой может быть не там, где с завидным упорством ищут :good:)
-
Открой все порты изнутри, должно заработать!
-
что с виндовым файрволлом не так? Который год пользуюсь и проблем не знаю.
Наверное, проблема не в файрволле, а в несвоевременной установке обновлений безопасности.
Насколько я помню, то единственное что не было "пробито" - это Cisco ASA.
Дайте, пожалуйста, ссылочку на серьезные уязвимости в netfilter/iptables.
-
Кстати а по фтп что-нить пробовалось качать
FTP работает без проблем :(
Отправленный на: Марта 11, 2008, 17:45:36
To sav
Спасибо за помошь, отключил Протокол Инспектор при своих правилах для 110 и 25 портов. Все заработало.
Только вот теперь объясните мне, пожалуйста, в чем грабли :) Что делает Протокол Инспектор?
-
To KARLOS
Относительно Protocol Inspector подробно можно здесь почитать http://www.redline-software.com/rus/support/docs/winroute/ch09s03.php
а вобще грабли раньше были при работе с FTP через НАТ, в новых билдах с FTP всё нормально, зато SMTP/POP3 глючит ... могу предположить
у вас стоит KWF 6.4.1 build 3519
-
не пользую керию уже лет пять, да вообще всегда с подозрением относился к этой софтине. нелюбовь возникла после того как это чудо после "триального" периода заблокировало ВСЕ интерфейсы - с какого бы икса??? ну вякни, не работай, но нафига блокировать ВСЕ?
-
могу предположить у вас стоит KWF 6.4.1 build 3519
KWF 6.0.8.
нелюбовь возникла после того как это чудо после "триального" периода заблокировало ВСЕ интерфейсы
:)
А как по мне, так логично, что заблокировал все. Если бы просто перестал работать - то открыл бы свободный доступ, что повлекло бы за собой нарушение безопасности. А так - забрало опустил и УСЁ :)
-
Древненькая таки версия 6.0.8 :) а на счёт таки блокирования всего по окончанию триального периода, помоему логичней некуда .... да и проблема ли найти crack. В теперешних триалах ничего не блокируется, скорость только ограничена 4 Кб/с. Под винду лучше и удобней KWF ничё не знаю ...
-
А как по мне, так логично, что заблокировал все. Если бы просто перестал работать - то открыл бы свободный доступ, что повлекло бы за собой нарушение безопасности. А так - забрало опустил и УСЁ :)
то вообще-то дело админа РЕШАТЬ что открывать а что нет, а не какой-то сраной софтины.
-
To KARLOS
Относительно Protocol Inspector подробно можно здесь почитать http://www.redline-software.com/rus/support/docs/winroute/ch09s03.php
а вобще грабли раньше были при работе с FTP через НАТ, в новых билдах с FTP всё нормально, зато SMTP/POP3 глючит ... могу предположить
у вас стоит KWF 6.4.1 build 3519
Ну это они satefull firewall проэмулировать пытаются - коннекшн треккер, двумя словами...
-
то вообще-то дело админа РЕШАТЬ что открывать а что нет, а не какой-то сраной софтины.
"I don't want to let you see the contents of this file, even if it's in your computer, I don't want to let you copy part of this file, even if it's in your computer, I'm not going to print this file for you because I don't like you" © Richard M. Stallman.
-
забыл добавить - то было давно когда был еще WinRoute, а не Kerio WinRoute Firewall. и блокировать на свое усмотрение не позволял титул - его дело раутить.
-
Блин ну если все уж так далеко зашло, то есть же ipfw портированный под вынь, никто ведь лучше файрвола не придумал. Вот только настраивать - гимор, зато когда работает - праздник...
ЗЫ ну, понеслась...
-
... никто ведь лучше файрвола не придумал...
Да ты че? :)
-
Да ты че? :)
Ага. Добавлю: бесплатного.
-
Да ты че? :)
Ага. Добавлю: бесплатного.
Да ты че?! :)
-
Да ты че? :)
Ага. Добавлю: бесплатного.
Да ты че?! :)
Не, ну я тоже вечером употребляю, но не в таких же количествах!! ;-))
-
файрволы? :lol:
-
файрволы? :lol:
Дома? Та ни в жисть! В основном алкоголесодержащие напитки ))
-
ну что за жисть - что ни тема все возвращается к одному и тому же! :D
-
Та мне теперь еще и страшно, Ёсомоно после двух "Да ты че?" затих, видать готовит нечто фундаментальное :D
Судя по его подписи я крепко попал :lol:
-
блондинко? :shock:
:D
-
Да нет, просто он шарит круче, мне все лень было ковыряться...
-
Расслабся... :) - просто твое безапелляционное утверждения улыбнуло, дважды...
-
Фух. Ночью плохо спал, ты что так пугать :swoon: