proNovell


http://novell.org.ru/forum/

BM3.7 - открыть порт на выход

http://novell.org.ru/forum/viewtopic.php?f=1&t=7764

Страница 1 из 1

BM3.7 - открыть порт на выход

СообщениеДобавлено: 26 апр 2006, 16:23
Kostya
Необходимо машине из внутренней сети дать доступ к удаленному рабочему столу машины в интернете.
Шлюз - NW5.1, Border Manager 3.7
Как сделать без включения NAT?

Пробовал через Generic TCP Proxy (открыв предварительно на выход порт 3389 в FILTCFG) - не пускает.
Подскажите.

Re: BM3.7 - открыть порт на выход

СообщениеДобавлено: 26 апр 2006, 18:32
Dimerson
Kostya писал(а):Необходимо машине из внутренней сети дать доступ к удаленному рабочему столу машины в интернете.
Шлюз - NW5.1, Border Manager 3.7
Как сделать без включения NAT?

Пробовал через Generic TCP Proxy (открыв предварительно на выход порт 3389 в FILTCFG) - не пускает.
Подскажите.


Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].

Re: BM3.7 - открыть порт на выход

СообщениеДобавлено: 27 апр 2006, 10:50
Kostya
Dimerson писал(а):Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].


ACL прописывал
Спасибо, все получилось.
Заметил особенности работы ACL (по крайней мере этого раньше не замечал):
1. в правиле для Generic TCP Proxy открываю port any - не работает, открываю только port 3389 - работает
(порт 3389 не входит что ли в any?)
2. правило для Generic TCP Proxy при ограничивании Source работает только с IP-адресами
и не работает с объектами NDS (user, group)

Re: BM3.7 - открыть порт на выход

СообщениеДобавлено: 27 апр 2006, 11:18
Dimerson
Kostya писал(а):
Dimerson писал(а):Для Generic TCP Proxy надо так же создать ACL Rule [там же где для HTTP Proxy].

Не забудьте про правило для ответных пакетов - в FILTCFG i mean [в случае Statefull не надо - им же описываются и ответные пакеты].


ACL прописывал
Спасибо, все получилось.
Заметил особенности работы ACL (по крайней мере этого раньше не замечал):
1. в правиле для Generic TCP Proxy открываю port any - не работает, открываю только port 3389 - работает
(порт 3389 не входит что ли в any?)
2. правило для Generic TCP Proxy при ограничивании Source работает только с IP-адресами
и не работает с объектами NDS (user, group)


На 1 - да
На 2 -да тк работает на уровне протокола а не приложения и аццки тяжело раскуривать, оопс аутентифицировать клиента - посему можно вбить IP или IP Range (subnet).
Часовой пояс: UTC + 3 часа [ Летнее время ]
Страница 1 из 1
2002-2010 proNovell Team
http://www.novell.org.ru/