BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 3:38 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
Здравствуйте
Подскажите пожалуйста. Имеется локальная сеть из компов, все компы под прокси сервером SQUID на FreeBSD, FreeBSD соответственно смотрит одной сетевой картой в ИНЕТ, другой в локальную сеть... Так же на FreeBSD настроен Firewall который запрещает выход в ИНЕТ компам, без прокси... + В Firewall настроен NAT.

Задача, запустить на компе программу aeroadmin (удаленный доступ). Но aeroadmin не может подключиться к серверу... Я так думаю, из-за ПРОКСИ. Aeroadmin не поддерживает прокси...
Можно что нибудь сделать? Что бы всё таки запустить успешно AeroAdmin...Подскажите пожалуйста советами...

SQUID в логах не видит соединение AeroAdmin.
P.S. Из документации AeroAdmin
Код:
Please make sure your Firewall doesn't block AeroAdmin.
AeroAdmin works on dynamic local TCP ports, and it connects to 443, 8080, 80 remote tcp ports


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 4:09 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5100
Откуда: Москва
Разве ответ не содержится в вопросе? Очевидно что его нужно выпустить через firewall.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 4:18 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
Вывел один из компов из под прокси, добавив в скрипт firewall правило
Код:
${fwcmd} add 9000 allow all from 192.168.0.37 to any in via $LIF

Теперь на этом компе запускается aeroadmin. Но это неправильный выход из ситуации...

Подскажите пожалуйста, как можно aeroadmin "выпустить" через firewall ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 7:23 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 841
Откуда: СССР, Красноярск
Reken писал(а):
Подскажите пожалуйста, как можно aeroadmin "выпустить" через firewall ?

Разве не очевидно, что путём добавления правил в файрвол?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 7:37 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5100
Откуда: Москва
Reken писал(а):
Теперь на этом компе запускается aeroadmin. Но это неправильный выход из ситуации...

Почему вы так решили?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 9:06 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
AlexVPetrov писал(а):
Разве не очевидно, что путём добавления правил в файрвол?

Сможете пожалуйста подсказать, как правильнее "написать" это правило в файрвол, у меня самого, пока что не получается.
AMDmi3 писал(а):
Почему вы так решили?

В моей сетке, все компы работают под прокси, правила для ИНЕТА тоже заданы в прокси. Поэтому нужно что бы компы и дальше работали под прокси.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Пн 19 сен, 2016 9:21 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 841
Откуда: СССР, Красноярск
Reken писал(а):
Сможете пожалуйста подсказать, как правильнее "написать" это правило в файрвол, у меня самого, пока что не получается.
Это уже другой вопрос.
И никак не стыкующийся с утверждением "Но это неправильный выход из ситуации..."


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Вт 20 сен, 2016 1:09 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
Похоже прокси сервер не причем...
Правило ipfw которое звучит как: "Отбрасываем все неразрешенные исходящие соединения в глобальную сеть"
И пишется как: "add 9500 deny log all from any to any in via $LIF"

Вот похоже оно мешает aeroadmin подключиться...
На время закоментировав это правило, aeroadmin подключился...
Подскажите как можно внести aeroadmin в список "исключений"?

P.S. Скрин tcp в момент успешного подключения aeroadmin


Вложения:
tcp1.png
tcp1.png [ 9.75 КБ | Просмотров: 2369 ]
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Вт 20 сен, 2016 4:52 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
Добавление правил не помогло...
Код:
${FwCMD} add 3998 allow tcp from any to any 8080 out via $LIF
${FwCMD} add 3999 allow tcp from any to any 80 out via $LIF
${FwCMD} add 4000 allow tcp from any to any 443 out via $LIF
# LIF = внутренняя сетевая карта

Наверное не те правила...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Ср 21 сен, 2016 3:10 pm 
Не в сети

Зарегистрирован: Пн 30 июн, 2014 8:50 am
Сообщения: 62
Через trafshow посмотрел сетевую карту, в момент попытки подключения aeroadmin
Увидел что комп на котором запускается aeroadmin ломится на определенный IP адрес по https...Похоже это адрес промежуточного сервера aeroadmin...
Добавил правило
${FwCMD} add 4000 allow tcp from 192.168.10.0/24 to IPадрес 443 in via $LIF

Но все равно, не получается запустить aeroadmin...

P.S. Если у ammyadmin убрать "использовать прокси". То в trafshow тоже можно наблюдать как комп ломится на промежуточный сервер по https...

Подскажите, где я допустил ошибку в добавлении правила, или ещё где либо ошибся?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid + Firewall + NAT + Aeroadmin
СообщениеДобавлено: Ср 05 окт, 2016 1:30 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Многое зависит от цели ...

В файерволе можно воспользоваться функционалом логирования. И по логам определить куда ломится программа и добавить соотв. разрешающие правила. Как вариант - собрать ВСЕ сервера, куда обращается программа в отдельную таблицу и полностью или частично разрешить трафик к ним.
По необходимости повторить.

Можно просто выпустить машину мимо прокси. По желанию - все программы настроить на использование прокси.

Используя снифер - можно много про бегающий трафик узнать...

Можно и программу сменить, на поддерживающую работу через прокси.

Вам решать ;)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Majestic-12 [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика