eika
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mvgfirst
Цитата:| 0:25:05 SYSTEM TCP OUT REFUSED forum.ru-board.com HTTP Запретить транзитные пакеты |
Для начала давайте посмотрим в первый вопрос из краткого фака в шапке - это там написано не просто так, хотя на эту тему помнится было много споров - у кого-то работает, у кого-то не работает и т.д. Каких-то постов на этом форуме с щепетильным разбором полетов я не припомню, может просто пропустил...
Вообще, суть такая - никто вам работы с транзитными пакетами не обещал, для этого есть спец. средства, типа MS ISA Server.
Цитата:| 0:33:34 SYSTEM TCP OUT forum.ru-board.com HTTP Разрешить пакеты NAT |
Как я понимаю, Запретить транзитные пакеты и Разрешить пакеты NAT - это встроенные "ядерные" правила OF и повлиять вы на них не сможете. А то что в разных режимах они обрабатываются по разному, так это, наверное, так показалось правильным разработчикам. Хотя, конечно, странно что в одном случае это называют транзитные пакеты, а в другом - пакеты NAT (вот это, если никто тут не объяснит, лучше спросить у разработчиков).
Цитата:| И что характерно, сразу же вернул "режим обучения" обратно, аутпост по прежнему пропускает пакеты с ноута в инет, я на ноуте еще какое то время смог поработать.. для чистоты эксперимента перегрузил оба компа... все работает, (подумалось видимо быстро перегрузил), выключил, перегрузил еще раз но уже через 5 мин. и опять Запрет транзитных пакетов. |
Ну тормоз да  Хотя в причинах этой инертности следовало бы разобраться отдельно анализируя журнал - у этого поведения должны быть к.л. объяснения.
Цитата:| А я ведь хотел основным рабочим местом сделать ноут а машину с W2003Ser оставить даже без монитора и включать только по надобности когда нужно в инет залезть... а теперь выходит все? Нереально???? |
Реально, но скорее всего проще и правильнее это будет сделать без участия OF, а, например, при помощи MS ISA Server, ну или Windows Firewall + ICS (Internet Connection Sharing) средствами Windows.
P.S.
Кстати, а работает ли схема: ICS средствами Windows + OF на одной и той же машине, смотрящей одним интерфейсом в WAN, а другим в LAN (ну ессно с целью раздачи интернета для LAN-хостов)? Или тут тоже вылезет проблема: Запретить транзитные пакеты? М.б. кто-инть пробовал или может попробовать?
Добавлено:
Цитата:| до этой проблемы все работало как надо |
Какой проблемы-то? Это не проблема
Цитата:| А насчет серверной платформы, неужели если я вместо сервера 2003-го поставлю XP что-то изменится? Найдется правило о транзитных пакетах или правило разрешающее NAT??? |
Нет конечно. Дело не в ОС, а в применении. На рабочих станциях для которых предназначен этот фаер, обчно нет транзитных пакетов как класс. Вернее быть то они могут, только вряд ли посланы туда с легальной целью
Цитата:| Вот, написал эти строки, нажал на ноуте Рефреш и рубоард загрузился . Ничего не понимаю, то он пропускает пакеты то непропускает.... Вообщем беспредел... |
Ищите систему в поведении, шлтите баг-репорт разработчику. Только не удивляйтесь если вас пошлют куда подальше (возращаясь к 1-му "постулату" из фака). Хотя если настоять, то, наверное, можно будет привлечь внимание к инертности и нестабильности (если, это, конечно не фичи OF).
Цитата:| И еще одно, пинги и трейсы ходят на сайты инета независимо от того грузятся сайты в браузере и независимо от того чего там аутпост пишет в своем журнале. |
На ICMP есть свои правила (System > ICMP > Settings), нужно разбираться с внутренними приоритетами OF между различными типами правил (на эту тему можно почитать мануал и форумы - вопрос должен проясниться; я же с ходу не скажу). |
Всего записей: 2482 | Зарегистр. 08-01-2002 | Отправлено: 03:22 03-02-2005 | Исправлено: eika, 03:42 03-02-2005 |
|
.... хотя они есть, раз в журнале написаны... 
