Кривизна с фильтрами в BM3.8

[Sbcon]

Эксплуатировали до недавнего времени NW6.0 SP3 BM3.5 SP2 в фильтрах
без проблем работала такая запись:
Source interface:CE100B_1 (Public)
Destination interface:CE100B_1 (Public)
Packet Type: _8080 Protocol:TCP
Src Port(s):<All> Dest Port(s):8080
Source IP addr:195.149.X.X
Dest IP addr:212.1.X.X

т.е. пользователь 195.149.X.X получал доступ к 8080 порту прокси со стороны
Интернета
Перешли на NW6.5 SP1 BM3.8 аналогичная запись уже не отрабатывает. Кое как открыл порты с 1024 по 65535, для доступа к сайтам порты которых отличны от 80,такой записью:
Source interface:CE100B_1 (Public)
Destination interface:ANY
Packet Type:dynamic/tcp Protocol:TCP
Src Port(s):<All> Dest Port(s):1024-65535
Source IP addr:ANY
Dest IP addr:ANY

по другому никак... Почему я ни могу указать конкретрый порт 8080 и адрес источника 212.1.Х.Х ????
Фильтры прописывал и с iManager и с FILTCFG, все равно не работают (((((((((

Подскажите пож.

[Владимир Горяев]

BM38 на public интерфейсе прокси-порт не светит, по-умолчанию.

И как фильтры настроены "Deny Packets in Filter List" или "Permit Packets in Filter List" ? Может попробовать поменять наоборот?

[Sbcon]

Фильтры настроены "Deny Packets in Filter List" , завтра попробую поменять на "Permit Packets NOT in Filter List". А при такой замене я вообще без фильтров не останусь ????

[Dimerson]

Эксплуатировали до недавнего времени NW6.0 SP3 BM3.5 SP2 в фильтрах
без проблем работала такая запись:
Source interface:CE100B_1 (Public)
Destination interface:CE100B_1 (Public)
Packet Type: _8080 Protocol:TCP
Src Port(s):<All> Dest Port(s):8080
Source IP addr:195.149.X.X
Dest IP addr:212.1.X.X

т.е. пользователь 195.149.X.X получал доступ к 8080 порту прокси со стороны
Интернета
Перешли на NW6.5 SP1 BM3.8 аналогичная запись уже не отрабатывает. Кое как открыл порты с 1024 по 65535, для доступа к сайтам порты которых отличны от 80,такой записью:
Source interface:CE100B_1 (Public)
Destination interface:ANY
Packet Type:dynamic/tcp Protocol:TCP
Src Port(s):<All> Dest Port(s):1024-65535
Source IP addr:ANY
Dest IP addr:ANY

по другому никак... Почему я ни могу указать конкретрый порт 8080 и адрес источника 212.1.Х.Х ????
Фильтры прописывал и с iManager и с FILTCFG, все равно не работают (((((((((

Подскажите пож.

From:--------------------->To:
Any Interface Public Interface
Any Address 212.1.X.X
1024-65535 TCP 8080 TCP.

это для входящих пакетов.
А что с ответами ?

Если нет общего правила для исходящих пакетов, то добавьте

From:--------------------->To:
Public To Any Interface
212.1.x.x Any Address
8080 TCP 1024-65535 TCP
Ask Bit Filtering = YES

Это для случая Non-Stateful filters. Что вам и рекомендую.

[Sbcon]

Спасибо всем за ответы !!!
Как оказалось истина находится где-то посредине...
Прав был Владимир Горяев говоря,что 8080 на PUBLIC интерфейсе не работают по умолчанию.
Пришлось то что предложил Dimerson модернизизовать.
Получилось два правила:
1.Source:--------------------->Dest:
Any Interface Public Interface
Any Address 212.1.X.X
ALL 1024-65535 TCP

2.Source:--------------------->Dest:
Public Interface Any Interface
212.1.X.X Any Address
ALL 1024-65535 TCP

Короче жизнь понемногу налаживается...

Если не затруднит еще один вопрос, как выкрутить в свете BM3.8 такую проблему:
Эксплуатировали до недавнего времени NW6.0 SP3 BM3.5 SP2 в фильтрах без проблем работала такая запись:

Source interface:CE100B_2 (Private)
Destination interface:CE100B_1 (Public)
Packet Type: ANY
Source IP addr:102.0.X.X
Dest IP addr:212.9.224.X

т.е. пользователь 102.0.X.X из приватной сети получал возможность забирать по протоколу POP3
почту с сервера 212.9.224.X минуя PROXY. Исторически сложилось так что в приватной сети у нас 102.0.Х.Х, так что не карайте строго.
Аналогичная запись на NW6.5 BM3.8 опять не отрабатывает, искал ответы у Джонсона - не нашел...

[Dimerson]

Короче жизнь понемногу налаживается...

Если не затруднит еще один вопрос, как выкрутить в свете BM3.8 такую проблему:
Эксплуатировали до недавнего времени NW6.0 SP3 BM3.5 SP2 в фильтрах без проблем работала такая запись:

Source interface:CE100B_2 (Private)
Destination interface:CE100B_1 (Public)
Packet Type: ANY
Source IP addr:102.0.X.X
Dest IP addr:212.9.224.X

т.е. пользователь 102.0.X.X из приватной сети получал возможность забирать по протоколу POP3
почту с сервера 212.9.224.X минуя PROXY. Исторически сложилось так что в приватной сети у нас 102.0.Х.Х, так что не карайте строго.
Аналогичная запись на NW6.5 BM3.8 опять не отрабатывает, искал ответы у Джонсона - не нашел...

Вы упускаете важнкю деталь. Указывайте в ваших правилах STATEFULL=YES или ASKBIT=YES.

То что вы написали это не совсем строго. И еще, надо либо statfeull чтоб ответы пускало но может глючить. Либо еще 1 правило - для ответных пакетов.

Посему 2 рекомендуемые правила [настоятельно рекомендую указывать ASKBIT такм где я пишу].

1) исходящие
FROM ---> TO
Private ---> Public
102.0.Х.Х -> 212.9.224.X
1024-65535 TCP-> 110 TCP
Statefull = NO, ASKBIT = NO

2) ответы
FROM ----> TO
Public ----> Private
212.9.224.X->102.0.Х.Х
110 TCP->1024-65535 TCP
Statefull = NO, ASKBIT = YES

[Sbcon]

Поставленные задачи решил таким образом, порт 8080 открыл так:
FROM ---> TO
Public---> ALL
212.1.X.X-> ANY
ALL TCP-> 8070-8090 TCP
Statefull = YES, ASKBIT = NO

а порт 110 из приватной сети так:
(правда пришлось поднять статик NAT)

FROM ---> TO
PRIVATE---> Public
102.0.X.X-> 212.9.224.X
1024-65535TCP-> 110 TCP
Statefull = NO, ASKBIT = NO

FROM ---> TO
PUBLIC---> PUBLIC
212.9.224.X-> 212.1.86.X <---Это адрес NAT
1024-65535TCP-> 110 TCP
Statefull = NO, ASKBIT = YES


FROM ---> TO
PUBLIC---> PRIVATE
212.9.224.X-> 102.0.X.X
1024-65535TCP-> 110 TCP
Statefull = NO, ASKBIT = YES

По другому не работало, может кому-нибудь пригодится.
Всем спасибо за ответы !!!!