BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 3:38 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
Здравствуйте
Подскажите пожалуйста. Имеется локальная сеть из компов, все компы под прокси сервером SQUID на FreeBSD, FreeBSD соответственно смотрит одной сетевой картой в ИНЕТ, другой в локальную сеть... Так же на FreeBSD настроен Firewall который запрещает выход в ИНЕТ компам, без прокси... + В Firewall настроен NAT.

Задача, запустить на компе программу aeroadmin (удаленный доступ). Но aeroadmin не может подключиться к серверу... Я так думаю, из-за ПРОКСИ. Aeroadmin не поддерживает прокси...
Можно что нибудь сделать? Что бы всё таки запустить успешно AeroAdmin...Подскажите пожалуйста советами...

SQUID в логах не видит соединение AeroAdmin.
P.S. Из документации AeroAdmin
Код:
Please make sure your Firewall doesn't block AeroAdmin.
AeroAdmin works on dynamic local TCP ports, and it connects to 443, 8080, 80 remote tcp ports


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 4:09 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5161
Откуда: Москва
Разве ответ не содержится в вопросе? Очевидно что его нужно выпустить через firewall.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 4:18 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
Вывел один из компов из под прокси, добавив в скрипт firewall правило
Код:
${fwcmd} add 9000 allow all from 192.168.0.37 to any in via $LIF

Теперь на этом компе запускается aeroadmin. Но это неправильный выход из ситуации...

Подскажите пожалуйста, как можно aeroadmin "выпустить" через firewall ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 7:23 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 896
Откуда: СССР, Красноярск
Reken писал(а):
Подскажите пожалуйста, как можно aeroadmin "выпустить" через firewall ?

Разве не очевидно, что путём добавления правил в файрвол?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 7:37 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5161
Откуда: Москва
Reken писал(а):
Теперь на этом компе запускается aeroadmin. Но это неправильный выход из ситуации...

Почему вы так решили?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 9:06 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
AlexVPetrov писал(а):
Разве не очевидно, что путём добавления правил в файрвол?

Сможете пожалуйста подсказать, как правильнее "написать" это правило в файрвол, у меня самого, пока что не получается.
AMDmi3 писал(а):
Почему вы так решили?

В моей сетке, все компы работают под прокси, правила для ИНЕТА тоже заданы в прокси. Поэтому нужно что бы компы и дальше работали под прокси.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 9:21 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 896
Откуда: СССР, Красноярск
Reken писал(а):
Сможете пожалуйста подсказать, как правильнее "написать" это правило в файрвол, у меня самого, пока что не получается.
Это уже другой вопрос.
И никак не стыкующийся с утверждением "Но это неправильный выход из ситуации..."


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Вт 20 сен, 2016 1:09 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
Похоже прокси сервер не причем...
Правило ipfw которое звучит как: "Отбрасываем все неразрешенные исходящие соединения в глобальную сеть"
И пишется как: "add 9500 deny log all from any to any in via $LIF"

Вот похоже оно мешает aeroadmin подключиться...
На время закоментировав это правило, aeroadmin подключился...
Подскажите как можно внести aeroadmin в список "исключений"?

P.S. Скрин tcp в момент успешного подключения aeroadmin


Вложения:
tcp1.png
tcp1.png [ 9.75 КБ | Просмотров: 3917 ]
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Вт 20 сен, 2016 4:52 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
Добавление правил не помогло...
Код:
${FwCMD} add 3998 allow tcp from any to any 8080 out via $LIF
${FwCMD} add 3999 allow tcp from any to any 80 out via $LIF
${FwCMD} add 4000 allow tcp from any to any 443 out via $LIF
# LIF = внутренняя сетевая карта

Наверное не те правила...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Ср 21 сен, 2016 3:10 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 63
Через trafshow посмотрел сетевую карту, в момент попытки подключения aeroadmin
Увидел что комп на котором запускается aeroadmin ломится на определенный IP адрес по https...Похоже это адрес промежуточного сервера aeroadmin...
Добавил правило
${FwCMD} add 4000 allow tcp from 192.168.10.0/24 to IPадрес 443 in via $LIF

Но все равно, не получается запустить aeroadmin...

P.S. Если у ammyadmin убрать "использовать прокси". То в trafshow тоже можно наблюдать как комп ломится на промежуточный сервер по https...

Подскажите, где я допустил ошибку в добавлении правила, или ещё где либо ошибся?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Ср 05 окт, 2016 1:30 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Многое зависит от цели ...

В файерволе можно воспользоваться функционалом логирования. И по логам определить куда ломится программа и добавить соотв. разрешающие правила. Как вариант - собрать ВСЕ сервера, куда обращается программа в отдельную таблицу и полностью или частично разрешить трафик к ним.
По необходимости повторить.

Можно просто выпустить машину мимо прокси. По желанию - все программы настроить на использование прокси.

Используя снифер - можно много про бегающий трафик узнать...

Можно и программу сменить, на поддерживающую работу через прокси.

Вам решать ;)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика