vimaret
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NegoroX
Цитата:| Ему нужно из интернета на ФТП сервер находящийся в локалке, а ты предлагаешь ему настройки из локалки на ФТР сервер находящийся в инете. |
Откуда вы делаете такой вывод?
Я молчу-молчу, но все-таки скажу: "Ну что вы сбиваете людей с толку, в частности lavren. Вы предлагаете правила с ошибками. Вот в этом например:
Цитата:| (наме РДП) - (соурсе инет) - (дистинейшин файервол) - (сервице РДП, пинг) - (транслятион НАТ локал) - (прот. инспектор Ноне). |
НАТ не нужен, уберите его и убедитесь сами."
Когда пишется правило для доступа из внешней сети в локальку, то оно пишется так:
1. Source - Внешний интерфейс, кокретный IP, группа IP, внешняя сеть и т.п.
2. Destination - Внешний адрес вашего сервиса (т.е. реальный IP на который будут обрашаться из инета) . Можно Firewall, но лучше не надо, потому что Firewall подразумевает любой IP на компе, где установлен Керик. В класическом случае, когда Внешний интерфейс с одним IP плюс Внутренний интерфейс с одним IP правило, где в Destination указан Firewall будет работать нормально. Но в более сложном случае, например несколько IP на внешнем интерфейсе или несколько внутренних интерфейсов (VLANы, DMZ) правило может мапить некорректно. Я давно уже напоролся на эти грабли. Поэтому и рекомендую народу писать конкретный IP, дабы в будущем при усложнении правил не создавать потенциальных проблем.
3. Service - Указывается сервис, или порт, или группа сервисов (но не Any) к которым нужно получить доступ из инета. Лучше разделять разные сервисы в отдельные правила. легче дебажить траблы.
4. Translation - Указывается Map и локальный IP, где расположен сервис. Может быть указан порт, если он не стандартный. Но никаких NATов. NATы указываются в правилах выхода из локалки в инет. (при выходе с Firewall в инет NAT не нужен, т.к Firewall уже имеет реальный IP).
lavren
Цитата:| Отрубил фирму от инета (вырубил КВФ) и ФТП побежал в вприпрыжку. |
Т.е вы выключили КВФ но не отрубили инет? И трафик пошел?
Вот даже не знаю, что вам еще порекомендовать, разве что "взвод делай как я". У меня ФТП стоит в ДМЗ на реальном IP, я уже писал об этом. Ну и прокси тоже отключен. В контент фильтеринг все отрублено.
Прочитайте еще в хелпе troubleshooting>FTP on WinRoute's proxy server может быть это натолкнет на какие-нибудь мысли.
alin
Цитата:| Подскажите, пожалуйста, есть ли ограничения на количество подключений к серверу на котором установлен Кирек? |
Нужно уточнить к Инету, или к расшаренным ресурсам винды, или к статистике керио....? К керио и инету только лицензии самого Керио. К винде - лицензии винды. Ну и если вы организуете тагированные VLANы на интелловых сетевухах с поддержкой 802.1Q и управляемых свитчах, то сами свитчи имеют ограничения на количество VLANов в зависимости от модели и Intel Advanced Network Service Protocol тоже ограничивает по 64 VLANа на каждый интерфейс.
|
Всего записей: 306 | Зарегистр. 19-08-2004 | Отправлено: 05:06 09-04-2008 | Исправлено: vimaret, 05:10 09-04-2008 |
|
Во всем виноват Protocol Inspector!
Сделал мапинг - тоже бегает! Мистика и все! 
