vimaret
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kaskad
Цитата:| Очень хочется выпустить аську через Kerio......Source - IP компа в сети, Destination - Firewall и Intel Pro 100 (сетевуха, смотрящая в нет),Service - ICQ, DNS, HTTPS, HTTP-Proxy и NAT для него включал. ....Где искать косяк? Как мониторить хоть? |
Временно исправте правило так: Source - IP компа в сети, Destination - Any, Service - ANY, Log - C, NAT
и смотрите в Logs>Connection и Status>Connection какие порты используются при работе аськи. Никакие прокси и авторизации на компе пока не прописывайте, просто укажите дефолтовым гейтом IP файервола.
Если не заработает попробуйте воткнуть этот комп вообще без файервола эффект скорей всего будет тот же, тогда возможно причина на нем.
Добавлено:
Hrist
Цитата:| я так понял - вы ему посоветовали смапить на ип внешний - а унего првило то и было - с внешнего ип пакет переправлялся на внутренний веб сервер в локалке - выполнив ваше предложение - он смапил пакет приходящий с ип внешнего на ип внешний же - кольцо |
Я то посоветовал ему правильно. А именно: Src-any, Dist-"Внешний IP сервера", Serv-HTTP, Map-"Внутренний IP сервера". В этом случае в приходящем на "Внешний IP сервера" пакете идет замена "внешнего" dst -addr на "внутренний" dst-addr, т.е. перенаправление пакета в локалку. Как там у него реально получилось не знаю, может еще что-то с чем-то не стыкуется. Напр. сеть неверно настроена, не туда маршрутизирует, неправильно разрешает имена, ну и т.д.
Если написать правило, как у него было, типа: Src-any, Dist-Firewall, Serv-HTTP, Map-"Внутренний IP сервера". Оно будет делать тоже самое + все остальные пакеты, которые могут приходить на 80 порт, но не на "Внешний IP сервера", а на любой другой адрес, имеющийся на интерфейсах файервола, тоже полетят на "Внутренний IP сервера". Это может добавить паразитный трафик (на который Он, собственно, и жаловался) ну и еще какие-нибудь конфликты вызвать.
Поэтому правила для мапинга конкретного сервиса лучше писать с указанием конкретного адреса (вместо Firewall), который нужно сопоставить внутреннему. ИМХО
|
Скорее всего эта прога не совместима с KWF. Я ее снес. А статистика, подсчитываемая и выдаваемая файрволом похожа на то. что выдает биллинг провайдера (плюс/минус несколько мегабайт). 
Попробую ещё раз. Очень хочется выпустить аську через Kerio. Проблема в том, что не коннектит ни фига ( В качестве клиента пытаюсь использовать qutIM. Вот никак не пойму, как создать правило корректно. Пробовал создать такое: Source - IP компа в сети, Destination - Firewall и Intel Pro 100 (сетевуха, смотрящая в нет), Service - ICQ, DNS, HTTPS, HTTP-Proxy и NAT для него включал. Не работает ( В клиенте прописывал адрес сервера в качестве прокси, типом выбирал http (не https, не поддерживает клиент такую), в разделе авторизации вводил логин-пароль одного из пользователей. Порт указывал 3128. Т.е. вроде как клиент аськи ломится на сервер на порт 3128 с логином и паролем на доступ в зубах, но не коннектится опять же. Где искать косяк? Как мониторить хоть? 
