Kerio WinRoute 6.0.5 + FTP

Jimi · 29.11.2005, 15:26

Поставил я данное чудо и пока не могу понять почему нет доступа к FTP адресам из локальной сети ?

Внутри стоит FTP сервер к нему люди коннектятся из вне отлично, а локальные пользователи не могут выходить на внешние FTP-шки.

В правилах NAT и Firewall Traffic стоит сервис FTP который развернут по 21 порту. Специально создал правило FTP де указал в source и destination - any, ну что бы уж точно все и куда угодно.
Сам сервис FTP является protocol inspertor'ом FTP.

Помогите разобраться.

AleksandrD · 29.11.2005, 15:45

Jimi
Выкладывай ВСЕ правила.

Lazy_lemial · 29.11.2005, 16:02

Скриншотом.
---
Правила для работы твоего фтп и доступа к другим фтп.
Intercon Ftp Servers - группа IP адресов, с которых разрешён доступ к моему ФТП, в вашем случае ставите ANY

Jimi · 30.11.2005, 14:10

Большое Вам спасибо Lazy_lemial, все сразу заработало.

Если не трудно объясните почему не работала конструкция с Any ?

Lazy_lemial · 30.11.2005, 15:53

Не знаю. Я вашего правила не понял.
Вы его или картинкой выложите, или опишите подробнее.
Source-Destination-Service-Action-Translation-PI

Jimi · 01.12.2005, 16:30

Lazy_lemial с FTP все нормально, но теперь другая беда, не работает пинг т.е. я могу пинговать адреса в интернете, а вот на оборот ни как

не пингуется мой ип и все.

в прикрепленном файлике настройки, объясни пожалуйста, что там не так

Lazy_lemial · 01.12.2005, 19:07

Правило Others FTP разрешает доступ из LAN и Firewall ко всему, а не только к ФТП.
Правило NAT работать не будет, потому как до него пакет не дойдёт, всё пропускается твоим первым правилом Others FTP.
Правило Local Traffic должно стоять первым! Исключение только для запрещающих правил, которые не должны пускать некие пакеты в твою локальную сеть.

Правило для пинга извне
Internet->Firewall-Ping-Permit

Jimi · 02.12.2005, 12:11

спасибо за правило, я чуть переделал настройки, вот как теперь (рисунок).
я уже надоел вопросами, но есть еще пара

с клиентских машин не возможно присоединиться к mail.ru хотя как видно на рисунке в NAT и в Firewall Traffic внисены сервисы POP и SMTP, точно такая же проблема с ICQ и SOCKS. Аська не хочет бегать по своему родному порту и по соксу не хочет, бегает только по HTTPS, почему так ?

Lazy_lemial · 02.12.2005, 14:02

У правила Local Traffic Protocol Inspector поставь в NONE, он не нужен, только замедлять работу будет.
У правила Others FTP выключи НАТ.
Правило ICMP изнутри правильней назвать ICMP снаружи. Источник у тебя интернет, значит этим правилом будут пропускаться пингпакеты из интернета, а не в интернет.
ICMP снаружи полностью дублирует предыдущее правило, только разрешает пинг исключительно firewall'a, так как перед этим у тебя стоит правило, разрешающее пинговать из интернета всё, что угодно, то ICMP снаружи работать не будет. До него опять же пакет не дойдёт.

Jimi · 02.12.2005, 14:18

так ведь я настраивал FTP правила как ты указывал в 3 посте, почему отключить NAT нужно ?

Lazy_lemial · 02.12.2005, 14:23

Если _внимательно_ посмотреть на мой пост http://www.u-antona.vrn.ru/forum/att...chmentid=36918
то станет очевидно, что у правила Мой ФТП NAT отключен.

Дело в том, что твоё правило Others FTP разрешает доступ к твоему ФТП, находящемуся на firewall хосте.

Ликбез:
Source-источник - откуда придёт пакет
Destination-назначение - куда пакет уйдёт

Jimi · 02.12.2005, 15:15

За ликбез спасибо, но тогда встает еще больший вопрос
почему нет возможности с компа пользователя настроить почтовый клиент на mail.ru
если иметь в виду, то что ты сказал, то получается, что пакет приходит из локалки и должен уходить в интернет, но не проходит

Lazy_lemial · 03.12.2005, 10:32

Про POP3 повеселило.

Вы не учитываете того, что для появления входящего пакета, нужно сначала исходящий на 110 порт выдать?

Про раздельные правила для разных служб. Идея правильная, только не всегда нужная.

А про бесполезность - учится человек. Научится, полезность появится.

ghost-vrn · 03.12.2005, 12:03

Цитата:

Сообщение от Lazy_lemial

А про бесполезность - учится человек. Научится, полезность появится.

Да флаг в руки, веселье в помощь.

Lazy_lemial · 03.12.2005, 12:54

Хамят только мелкие, ограниченные люди.
Широкой, правильной души человек помогает.
Не мне вас лечить, конечно, только вопрос есть, какого болта вы хамите? Вас обидели, что-ли?

Jimi · 08.12.2005, 10:32

Lazy_lemial Большое Вам спасибо. Начинаю разбираться и чем больше узнаю про Kerio тем больше он мне нравится

если будут еще вопросы, могу ли я обратиться к Вам ?

29.11.2005, 15:26	#1
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	Kerio WinRoute 6.0.5 + FTP Поставил я данное чудо и пока не могу понять почему нет доступа к FTP адресам из локальной сети ? Внутри стоит FTP сервер к нему люди коннектятся из вне отлично, а локальные пользователи не могут выходить на внешние FTP-шки. В правилах NAT и Firewall Traffic стоит сервис FTP который развернут по 21 порту. Специально создал правило FTP де указал в source и destination - any, ну что бы уж точно все и куда угодно. Сам сервис FTP является protocol inspertor'ом FTP. Помогите разобраться.

29.11.2005, 16:02	#3
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Скриншотом. --- Правила для работы твоего фтп и доступа к другим фтп. Intercon Ftp Servers - группа IP адресов, с которых разрешён доступ к моему ФТП, в вашем случае ставите ANY Миниатюры

01.12.2005, 16:30	#6
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	Lazy_lemial с FTP все нормально, но теперь другая беда, не работает пинг т.е. я могу пинговать адреса в интернете, а вот на оборот ни как не пингуется мой ип и все. в прикрепленном файлике настройки, объясни пожалуйста, что там не так Миниатюры

02.12.2005, 12:11	#8
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	спасибо за правило, я чуть переделал настройки, вот как теперь (рисунок). я уже надоел вопросами, но есть еще пара с клиентских машин не возможно присоединиться к mail.ru хотя как видно на рисунке в NAT и в Firewall Traffic внисены сервисы POP и SMTP, точно такая же проблема с ICQ и SOCKS. Аська не хочет бегать по своему родному порту и по соксу не хочет, бегает только по HTTPS, почему так ? Миниатюры

		Большой Воронежский Форум » Коммуникации и связь в Воронеже » » Коммуникации
Kerio WinRoute 6.0.5 + FTP

29.11.2005, 15:45	#2
AleksandrD Форумец Сообщений: 1,536 Регистрация: 02.06.2003 Не в сети	Jimi Выкладывай ВСЕ правила.

30.11.2005, 14:10	#4
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	Большое Вам спасибо Lazy_lemial, все сразу заработало. Если не трудно объясните почему не работала конструкция с Any ?

30.11.2005, 15:53	#5
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Не знаю. Я вашего правила не понял. Вы его или картинкой выложите, или опишите подробнее. Source-Destination-Service-Action-Translation-PI

01.12.2005, 19:07	#7
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Правило Others FTP разрешает доступ из LAN и Firewall ко всему, а не только к ФТП. Правило NAT работать не будет, потому как до него пакет не дойдёт, всё пропускается твоим первым правилом Others FTP. Правило Local Traffic должно стоять первым! Исключение только для запрещающих правил, которые не должны пускать некие пакеты в твою локальную сеть. Правило для пинга извне Internet->Firewall-Ping-Permit

02.12.2005, 14:02	#9
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	У правила Local Traffic Protocol Inspector поставь в NONE, он не нужен, только замедлять работу будет. У правила Others FTP выключи НАТ. Правило ICMP изнутри правильней назвать ICMP снаружи. Источник у тебя интернет, значит этим правилом будут пропускаться пингпакеты из интернета, а не в интернет. ICMP снаружи полностью дублирует предыдущее правило, только разрешает пинг исключительно firewall'a, так как перед этим у тебя стоит правило, разрешающее пинговать из интернета всё, что угодно, то ICMP снаружи работать не будет. До него опять же пакет не дойдёт.

02.12.2005, 14:18	#10
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	так ведь я настраивал FTP правила как ты указывал в 3 посте, почему отключить NAT нужно ?

02.12.2005, 14:23	#11
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Если _внимательно_ посмотреть на мой пост http://www.u-antona.vrn.ru/forum/att...chmentid=36918 то станет очевидно, что у правила Мой ФТП NAT отключен. Дело в том, что твоё правило Others FTP разрешает доступ к твоему ФТП, находящемуся на firewall хосте. Ликбез: Source-источник - откуда придёт пакет Destination-назначение - куда пакет уйдёт

02.12.2005, 15:15	#12
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	За ликбез спасибо, но тогда встает еще больший вопрос почему нет возможности с компа пользователя настроить почтовый клиент на mail.ru если иметь в виду, то что ты сказал, то получается, что пакет приходит из локалки и должен уходить в интернет, но не проходит

03.12.2005, 10:32	#13
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Про POP3 повеселило. Вы не учитываете того, что для появления входящего пакета, нужно сначала исходящий на 110 порт выдать? Про раздельные правила для разных служб. Идея правильная, только не всегда нужная. А про бесполезность - учится человек. Научится, полезность появится.

03.12.2005, 12:54	#15
Lazy_lemial Форумец Сообщений: 1,935 Регистрация: 23.06.2005 Возраст: 27 Не в сети	Хамят только мелкие, ограниченные люди. Широкой, правильной души человек помогает. Не мне вас лечить, конечно, только вопрос есть, какого болта вы хамите? Вас обидели, что-ли?

08.12.2005, 10:32	#16
Jimi Форумец Сообщений: 38 Регистрация: 16.06.2003 Не в сети	Lazy_lemial Большое Вам спасибо. Начинаю разбираться и чем больше узнаю про Kerio тем больше он мне нравится если будут еще вопросы, могу ли я обратиться к Вам ?

	Ваши права в разделе
	Вы не можете создавать новые темы Вы не можете отвечать в темах Вы не можете прикреплять вложения Вы не можете редактировать свои сообщения	BB коды Вкл. Смайлы Вкл. [IMG] код Вкл. HTML код Выкл. Правила форума

Как разместить платную(важную.коммерческую) тему - ИНСТРУКЦИЯ ЗДЕСЬ!