vimaret
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kaskad Цитата: Очень хочется выпустить аську через Kerio......Source - IP компа в сети, Destination - Firewall и Intel Pro 100 (сетевуха, смотрящая в нет),Service - ICQ, DNS, HTTPS, HTTP-Proxy и NAT для него включал. ....Где искать косяк? Как мониторить хоть? | Временно исправте правило так: Source - IP компа в сети, Destination - Any, Service - ANY, Log - C, NAT и смотрите в Logs>Connection и Status>Connection какие порты используются при работе аськи. Никакие прокси и авторизации на компе пока не прописывайте, просто укажите дефолтовым гейтом IP файервола. Если не заработает попробуйте воткнуть этот комп вообще без файервола эффект скорей всего будет тот же, тогда возможно причина на нем. Добавлено: Hrist Цитата: я так понял - вы ему посоветовали смапить на ип внешний - а унего првило то и было - с внешнего ип пакет переправлялся на внутренний веб сервер в локалке - выполнив ваше предложение - он смапил пакет приходящий с ип внешнего на ип внешний же - кольцо | Я то посоветовал ему правильно. А именно: Src-any, Dist-"Внешний IP сервера", Serv-HTTP, Map-"Внутренний IP сервера". В этом случае в приходящем на "Внешний IP сервера" пакете идет замена "внешнего" dst -addr на "внутренний" dst-addr, т.е. перенаправление пакета в локалку. Как там у него реально получилось не знаю, может еще что-то с чем-то не стыкуется. Напр. сеть неверно настроена, не туда маршрутизирует, неправильно разрешает имена, ну и т.д. Если написать правило, как у него было, типа: Src-any, Dist-Firewall, Serv-HTTP, Map-"Внутренний IP сервера". Оно будет делать тоже самое + все остальные пакеты, которые могут приходить на 80 порт, но не на "Внешний IP сервера", а на любой другой адрес, имеющийся на интерфейсах файервола, тоже полетят на "Внутренний IP сервера". Это может добавить паразитный трафик (на который Он, собственно, и жаловался) ну и еще какие-нибудь конфликты вызвать. Поэтому правила для мапинга конкретного сервиса лучше писать с указанием конкретного адреса (вместо Firewall), который нужно сопоставить внутреннему. ИМХО |