Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 15.05.2019, 14:57   #1
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Переброс группы портов.

Добрый день уважаемые. Давненько я тут небыл. Стоит керио фоир 6.6.0-5729. Как перебросить группу портов, на комп в сети. Допустим 5060-5062ЮДП, на 5060-5062 УДП МАР 192.168.10.13(это на этот комп переброс идет). Неужели 2 раза забивать правило? А если 1000-2000 то тысячу раз?

пробовал через дефис порты указать, не принимает. На скрине 2 показано что только 1 порт. То есть каждое правило для каждого порта?
Изображения
Тип файла: jpg 1.jpg (34.4 Кб, 5 просмотров)
Тип файла: jpg 2.jpg (87.5 Кб, 7 просмотров)
Aslay вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 15:48   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
А если 1000-2000 то тысячу раз?
а смысл этого действа?
Цитата
Сообщение от Aslay Посмотреть сообщение
То есть каждое правило для каждого порта?
группу портов внешних можно пробросить в локальный порт
Цитата
Сообщение от Aslay Посмотреть сообщение
Неужели 2 раза забивать правило?
для 1000 раз можно скрипт накидать на чем-нибудь по добивке новыми правилами winroute.cfg
Цитата
Сообщение от Aslay Посмотреть сообщение
Как перебросить группу портов, на комп в сети.
обычно адекватные задачи решаются пробросом одного порта

но еще лучше их решать через использование vpn, где соединения через vpn-туннель будет идти сразу на локальные адреса хостов и вместо проброса будут стоять разрешения на диапазоны портов
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 16:00   #3
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

мдэ. единственный ответ из написаного вами-про скрипт. Я чуток ошибся. 10.13 это не комп, это gsm шлюз и ни впн ни переброс 1го порта не подходит. то есть в конце вопроса я написал верно- 1 порт 1 правило.
Aslay вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 16:45   #4
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,350
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
6.6.0-5729
ухх древность то какая


Цитата
Сообщение от Aslay Посмотреть сообщение
то есть в конце вопроса я написал верно- 1 порт 1 правило
а группу портов не даёт сделать?
если нет то увы
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.05.2019, 07:23   #5
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

Исправил. Это не переброс портов мне нужен, а разрешение на конект к устроиству 192.168.10.13 по этомим портам. А как создать такое правило в керио? скрин модема прилагаю.
Изображения
Тип файла: jpg 10.jpg (33.1 Кб, 5 просмотров)

Последний раз редактировалось Aslay; 16.05.2019 в 11:32. Причина: тупанул
Aslay вне форума   Ответить с цитированием Вверх
Старый 16.05.2019, 15:51   #6
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,350
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
Исправил. Это не переброс портов мне нужен, а разрешение на конект к устроиству 192.168.10.13 по этомим портам

непонятно


Цитата
Сообщение от Aslay Посмотреть сообщение
А как создать такое правило в керио?
проброс портов, уже ответили выше


Цитата
Сообщение от Aslay Посмотреть сообщение
скрин модема прилагаю.
оказывается ещё и модем есть?
а может ещё что-то оставшееся "за кадром" и могущее повлиять?
??
на скрине, кстати, проброс портов в модеме
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.05.2019, 15:55   #7
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

Цитата:
Сообщение от naliman Посмотреть сообщение
непонятно




проброс портов, уже ответили выше


оказывается ещё и модем есть?
а может ещё что-то оставшееся "за кадром" и могущее повлиять?
??
на скрине, кстати, проброс портов в модеме
неа. нету. Здоров. Шлюз джиэсэм напрямую воткнут в модем. но. это сеичас . но я сменил проваидера, внешнний аипи на сетевой карте сервера, на сервере керио, по после сетевой на лан смотрящую стоит хаб на нем уже и будет этот шлюз джиэсэм. А как организовать "переброс портов". Если с порта на такои же порт это переброс? я чет по другому предполагал. Вот там ниже рдп переброс с 33899 на комп и порт 3389 я понимал переброс. то есть на разных портах.

Последний раз редактировалось Aslay; 16.05.2019 в 15:56. Причина: тупанул
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 00:28   #8
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,350
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
неа. нету. Здоров. Шлюз джиэсэм напрямую воткнут в модем. но. это сеичас . но я сменил проваидера, внешнний аипи на сетевой карте сервера, на сервере керио, по после сетевой на лан смотрящую стоит хаб на нем уже и будет этот шлюз джиэсэм
здоров
ничего не понял

Цитата
Сообщение от Aslay Посмотреть сообщение
А как организовать "переброс портов". Если с порта на такои же порт это переброс? я чет по другому предполагал. Вот там ниже рдп переброс с 33899 на комп и порт 3389 я понимал переброс. то есть на разных портах.
проброс переброс это всё едино
MAPPING
передача трафика с внешнего интерфейса шлюза на хост внутри периметра
а с какого на какой порт это уже детали
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 08:36   #9
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

насхемачил). схема в вложении
Изображения
Тип файла: jpg схема.jpg (39.1 Кб, 4 просмотров)
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 08:56   #10
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

вот такая ерунда получилась. а как указать диапазон портов от 1000 до 2000 я непонимаю.
как видно указал порты и указал аипишник назначения. без порта. по аналогии-допустим на керио открыт порт 3389 и все что по этому порту будет стучатся перенаправлю(мап на аипишник) на сервер где есть рдп.
Изображения
Тип файла: jpg Новый точечный рисунок.jpg (35.5 Кб, 4 просмотров)
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 09:07   #11
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

вот такая ерунда получилась. а как указать диапазон портов от 1000 до 2000 я непонимаю.
укахал диапазон. посмотрим как все запляшет. там где потры 5060 итп, укакзад 1000-2000 юдп и тсп.
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 09:12   #12
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
насхемачил)
1) почему внутренниый ip железки тот же, что и у gsm-шлюза?
2) стрелка выхода в интернет - это отдельное сетевое подключение через другого провайдера или выход через тот же gsm-шлюз?
3) 8022 - это сервер виалон, 5060-5062 - sip. и они явно не на одном хосле в локалке находятся.

Цитата
Сообщение от Aslay Посмотреть сообщение
а как указать диапазон портов от 1000 до 2000 я непонимаю
4) а на схеме был диапазон 10000-20000, какой же правильный?
так все же - что это за сервис и зачем его так прокидывать???
Цитата
Сообщение от Aslay Посмотреть сообщение
вот такая ерунда получилась
неебическая ерунда
короче, краткий ликбез, иначе все это совсем затянется:
столбцы "источник" и "назначение" в правилах аналогичны ip источника и ip назначения в пролетающих через файерволл пакетах
а файерволл у тебя пропускает их через NAT в обе стороны, т.к. внешняя сетка не знает твою внутреннюю адресацию, а знает только твой белый ip
поэтому пакет вида "инет"->"локалка" - это бред, т.к. извне могут отправить тебе на белый ip, а не в локалку
поэтому поправь там на "инет"->"файерволл"
и прочитай таки руководство администратора на файерволл, который ты пытаешься использовать.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 09:20   #13
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

Цитата:
Сообщение от exchar Посмотреть сообщение
3) 8022 - это сервер виалон, 5060-5062 - sip. и они явно не на одном хосле в локалке находятся.
на одном.
Цитата:
Сообщение от exchar Посмотреть сообщение
почему внутренниый ip железки тот же, что и у gsm-шлюза?
это та же железка и аипи у нее такои.
Цитата:
Сообщение от exchar Посмотреть сообщение
а на схеме был диапазон 10000-20000, какой же правильный?
запарился. 0 добавлю. я хз че за сервис сидит, но в настроике шлюза указано что ему эти порты нужны.

Цитата:
Сообщение от exchar Посмотреть сообщение
поэтому поправь там на "инет"->"файерволл"
спасибо! я постоянно это путаю. никак не могу понять принцип. и даже пробовал читать мануалы от керио и мануал по настроикам читал.

Добавлено через 3 минуты

Цитата:
Сообщение от exchar Посмотреть сообщение
2) стрелка выхода в интернет - это отдельное сетевое подключение через другого провайдера или выход через тот же gsm-шлюз?
если ты имел ввиду про модем, то стреклка эта идет в оптику от модема. а если керио то стрелка идет на сетевую ИНЕТ. короче щас инет подается от модема и у него белый аипи. а другои проваидер дает инет по радиорелейке, аипишник внешний будет на сетевой сервера керио.

у меня оба подключения сеичас активны до конца месяца))).

Последний раз редактировалось Aslay; 17.05.2019 в 09:21. Причина: Добавлено сообщение
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 09:30   #14
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
на одном.
лучше разносить сервисы на разные, если с виртуализацией в конторе нормально.
иначе однажды единственный сервак утонет и утянет на дно всё сразу
Цитата
Сообщение от Aslay Посмотреть сообщение
это та же железка и аипи у нее такои
тогда я вообще не понимаю эту схему...
Цитата
Сообщение от Aslay Посмотреть сообщение
но в настроике шлюза указано что ему эти порты нужны.
какого шлюза? gsm?
Цитата
Сообщение от Aslay Посмотреть сообщение
я постоянно это путаю. никак не могу понять принцип. и даже пробовал читать мануалы от керио и мануал по настроикам читал.
принцип там тупой
пакет прилетает из локалки или от провайдера на керио
керио берет из пакета ip источника (обратный адрес отправителя) и ip назначения (куда пакет нужно доставить)
затем керио проходя по правилам сверху вниз начинает для каждого правила сопостовлять ip источника со значением столбца источник в правиле. про ip назначения - аналогично.
когда находится правило, где источник и назначение пакета совпали со значениями в правиле - керио выполняет над пакетом действие, указанное в правиле.
если для всех правил не совпало, то есть самое нижнее неудаляемое правило, по которому пакет дропается нафиг.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 09:43   #15
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

думаю что надо обяснить что это за джиэсэмшлюз. клиенты звонят на сотовые номера, а симкарты этих номеров находятся в шлюзе. и как приходит звонок в шлюз, шлюз его перенаправляет на сип телефоны отдела продаж. симок 8 штук, разнеых операторов, а сип телефонов 3. эти сип телефоны подвязаны к СРМ програамме. она показывает когда звониол ранее клиент(если звонил конечно), долг клиента итп. СРМ для продажников нужна.

Добавлено через 1 минуту

Цитата:
Сообщение от exchar Посмотреть сообщение
лучше разносить сервисы на разные, если с виртуализацией в конторе нормально.
иначе однажды единственный сервак утонет и утянет на дно всё сразу
несовсем понял-то что сервер керио грохнется и шлюз отвалится?

Последний раз редактировалось Aslay; 17.05.2019 в 09:43. Причина: Добавлено сообщение
Aslay вне форума   Ответить с цитированием Вверх
Старый 17.05.2019, 19:39   #16
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
думаю что надо обяснить что это за джиэсэмшлюз.
теперь понял
Цитата
Сообщение от Aslay Посмотреть сообщение
несовсем понял-то что сервер керио грохнется и шлюз отвалится?
почитайте про преимущества виртуализации на досуге.
вкратце - вешать 100500 сервисов на одной железке и в одной ОС, в одной ФС в 2019 году немножко не комильфо.

P.S. А в виалоне у вас какие модели трекеров катаются?
Просто у меня тоже он есть и интересно - кто чем пользуется и с каким результатом.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый Вчера, 12:31   #17
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

Цитата:
Сообщение от exchar Посмотреть сообщение
теперь понял

почитайте про преимущества виртуализации на досуге.
вкратце - вешать 100500 сервисов на одной железке и в одной ОС, в одной ФС в 2019 году немножко не комильфо.

P.S. А в виалоне у вас какие модели трекеров катаются?
Просто у меня тоже он есть и интересно - кто чем пользуется и с каким результатом.
дык и не много сервиса на этот сервере. фаилопомоика, днс-днср и керио.

тут еще вопросик, дабы не плодить темы. а порядок какой отработки правил- сначала политика трафика, политика НТТР? конкретизирую- в политике трафика стоит правило-лан в инет-группа портов(днс, нттр, итп.) Инет работает. теперь я хочу допустим прикрыть ютуб- в группе адресовпишу группу адресов которые необходимо закрыть, в политике нттр ставлю галку-для этой группы пользователей?
Aslay вне форума   Ответить с цитированием Вверх
Старый Вчера, 13:21   #18
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
дык и не много сервиса на этот сервере. фаилопомоика, днс-днср и керио.
у меня все это разнесено по разным виртуальным машинам.

и dhcp отдельно, ггг )
Цитата
Сообщение от Aslay Посмотреть сообщение
порядок какой отработки правил- сначала политика трафика, политика НТТР
сначала естественно политика трафика

собственно, для tcp политика трафика говорит, какие соединения, как и откуда могут быть установлены
а политика http - какие ограничения можно наложить на установленные соединения http[s]
собственно, для отработки контроля http-политики керио читает http-заголовки, передаваемые в конкретном установленном соединении и режет трафик по необходимости.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый Вчера, 15:53   #19
Aslay
Навичёг
 
Аватар для Aslay
 
Регистрация: 03.09.2010
Сообщений: 22
По умолчанию Re: Переброс группы портов.

где ты была статья, в ней было расписано все от начала установки.. неподскажете ссылку?
Aslay вне форума   Ответить с цитированием Вверх
Старый Вчера, 16:03   #20
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,301
По умолчанию Re: Переброс группы портов.

Цитата
Сообщение от Aslay Посмотреть сообщение
в ней было расписано все от начала установки
всё - это конкретно что?

Цитата Поймал мужик золотую рыбку и загадывает желание:
- Хочу, чтобы у меня всё было!
- Ладно, - сказала золотая рыбка. - Мужик, у тебя всё БЫЛО!
посмотри [Для просмотра данной ссылки нужно зарегистрироваться] и [Для просмотра данной ссылки нужно зарегистрироваться]
и глянь руководство администратора к релизу
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:05. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях