Цитата WorF:
|
когда в керио включаю переадресацию DNS - пишет, что переадресация DNS конфликтует с DNS службой Windows. »
|
а так это понятно.) я же не знал что у тебя виндовая поднята. значит галку не ставь! выбери что то одно.
Цитата WorF:
|
Все что надо отклчено (Брэндмауер виндовый, а вот SSDP discovery, universal PnP службы так и не нашел »
|
о блин!.) ну брандмауэр то понятно Керио с ним работать не будет а что за SSDP и UPnP это откуда и причём тут понять не могу. они включаються когда шариш подключение к инету, ну и выключаються когда шару снимаешь. но зачем тебе шарить подключение к инету если у тебя Керио этим занимается? а вообщем что получилось?
по картинкам:
2 правило(PING) избыточное\неКоррктное - источникЛюбой\назначениеСетевойЭкран\службаЛюбойICMP+ping --- это правило позволяет любому хосту из любой сети послать тебе любой паке ICMP. протокол ICMP это не только ping но и многое другое. потому рекомендую убрать любойICMP оставив только ping.
3 правило(RDP) избыточное\неКорректное --- протокол RDP использует порт 3389 потому порт 3389 и службаRDP это одно и тоже, оставь что то одно или порт 3389 или службу RDP.
5 правило(SQL) избыточное\неКорректное --- сервер MS-SQL работает по-моему только с протоколом TCP. и MS-SQL и порты 1433 это одно и тоже(если конечно у тебя не SQL2005Express) рекомендую оставить только службу MS-SQL.
что за оранжВэбФильтр. по-моему он работает по протоколу COFS в службах который ну или 6000 TCP порту, а HTTPS там зачем?
правила FTP и NAT пересмотри пож. так как они дублируют друг друга(избыточные то есть) кроме двух нижних строчек в правиле FTP они идентичны. не путай себя! и из этих правил убери 37-ю машину т.к. ниже ты ей разрешаешь полный доступ. в этих правилах она ненужна.
правило ISQ&POP3 --- 37-ой машине ты и так разрешил выше всё зачем она здесь? администратор получает всё в правеле NAT(если ты пересмотриш правило FTP) или в правиле FTP, он тут тоже не нужен.
правило траффикМежсетевогоЭкрана --- MS-SQL и порты 1433 это одно и тоже мы это обсуждали выше.
так же ты журналируеш не только подключения но и пакеты зачем? соединения это факт уставноки передачи данных да и вообще какого либо "осмысленного" взаимодействия. а пакеты не факт подключения или взаимодействия. кроме того их гараздо больше они топят журналы. по мне так стоит от регистрации пакетов отказаться. хотя смотри сам может тебе они нужны.
ну в чём причина? что работает не так? немножко безпорядка и путаници но это ж не страшно.)) просмотри правила и внеси изменения потом пиши что не получается.
показываю как это делаеться более красиво.)
1 - создаём группы по назначениям HTTP,HTTPS,ICQ,MAIL,FTP. я так понял что некоторым ты даёшь доступ только к HTTP а другим только к HTTPS, потому их разделил. если это не так то можно их обьеденить в одну HTTP. рис7.
2 - добавляем пользователей. обрати внимание что один пользователь может состоять в нескольких группах.) рис8.
3 - пишим правила рис9. обрати внимание что протокол HTTP мы проксируем!(обведено красным) остальные протоколы NAT-им. также обрати внимание что если пользователь в группе MAIL то ему доступны два протокола SMTP и POP3 что собственно говоря логично да?.))
p.s. также нужно создать специальную группу пользователей или адресов ХорошиеЛюди и соответствующие правило где источник=хорошиеЛюди назначение=All служба=любой действие=разрешить трансляция=NAT. этим правилом ты выпустиш людей которые должны ходить без ограничения например как "Homek" или 192.168.22.37 .))
с мапом портов ничего не поделаешь для каждой машины своё правило так что остаётся как есть у тебя например торрент.ин(торрент оут не нужен. просто добавь этого чела в группу хорошиеЛюди.)) )
пиши если что не так.
