BM3.7 - открыть порт на выход

Обсуждение технических вопросов по продуктам Novell

BM3.7 - открыть порт на выход

Сообщение Kostya » 26 апр 2006, 16:23

Необходимо машине из внутренней сети дать доступ к удаленному рабочему столу машины в интернете.
Шлюз - NW5.1, Border Manager 3.7
Как сделать без включения NAT?

Пробовал через Generic TCP Proxy (открыв предварительно на выход порт 3389 в FILTCFG) - не пускает.
Подскажите.
Kostya
 
Сообщения: 35
Зарегистрирован: 28 май 2004, 12:13

Re: BM3.7 - открыть порт на выход

Сообщение Dimerson » 26 апр 2006, 18:32

Kostya писал(а):Необходимо машине из внутренней сети дать доступ к удаленному рабочему столу машины в интернете.
Шлюз - NW5.1, Border Manager 3.7
Как сделать без включения NAT?

Пробовал через Generic TCP Proxy (открыв предварительно на выход порт 3389 в FILTCFG) - не пускает.
Подскажите.


Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: BM3.7 - открыть порт на выход

Сообщение Kostya » 27 апр 2006, 10:50

Dimerson писал(а):Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].


ACL прописывал
Спасибо, все получилось.
Заметил особенности работы ACL (по крайней мере этого раньше не замечал):
1. в правиле для Generic TCP Proxy открываю port any - не работает, открываю только port 3389 - работает
(порт 3389 не входит что ли в any?)
2. правило для Generic TCP Proxy при ограничивании Source работает только с IP-адресами
и не работает с объектами NDS (user, group)
Kostya
 
Сообщения: 35
Зарегистрирован: 28 май 2004, 12:13

Re: BM3.7 - открыть порт на выход

Сообщение Dimerson » 27 апр 2006, 11:18

Kostya писал(а):
Dimerson писал(а):Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].


ACL прописывал
Спасибо, все получилось.
Заметил особенности работы ACL (по крайней мере этого раньше не замечал):
1. в правиле для Generic TCP Proxy открываю port any - не работает, открываю только port 3389 - работает
(порт 3389 не входит что ли в any?)
2. правило для Generic TCP Proxy при ограничивании Source работает только с IP-адресами
и не работает с объектами NDS (user, group)


На 1 - да
На 2 -да тк работает на уровне протокола а не приложения и аццки тяжело раскуривать, оопс аутентифицировать клиента - посему можно вбить IP или IP Range (subnet).
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 64

cron