На бухгалтерском компе требуется открыть доступ только на один сайт www.faktura.ru. Звонил банковским админам, говорят, пропиши в фаерволе этот домен и 80, 443 порты.

1. Создал свое правило в HTTP ALG http-outbound_buh
Whitelist faktura.ru/*
Whitelist *.faktura.ru/*

2. Создал свою службу
Name: http-outbound-buh
Type: TCP

Source: 0-65535
Destination: 80,443

ALG:http-outbound_buh
Max Sessions: 200

4. Создал группу служб :
all_services_buh Group dns-all, http-outbound-buh

5. Создал правило:
allow_buh_test NAT lan buh_ip wan all-nets all_services_buh

В итоге, когда пытаюсь авторизоваться на https-страничке, получаю тормоза и "Невозможно отобразить страницу".
В логах:

2007-12-11
13:23:34 Error ALG
00200001 TCP lan
core 192.168.3.150
194.85.126.5 4528
443 alg_session_open

rev=1 algmod=http algsesid=6620 origsent=88
2007-12-11
13:23:34 Error CONN
00600001 allow_buh_test TCP lan
wan 192.168.3.150
194.85.126.5 4528
443 conn_open

rev=1 conn=open

Пытался отдельным правилом разрешить доступ на 194.85.126.5 - не работает.
Не работает даже если указать в Whitelist */*.

В тоже время, если в службе отключить HTTP ALG, то все работает. Но давать доступ всюду решительно нельзя.

В чем может быть дело?

Создайте дополнительное правило HTTP-ALL перед правилом с alg, которое содержало бы такие фильтры.


Source Interface: lan
Source Network: IP адрес компьютера бухгалтерии
Destination Interface: wan
Destination Network: ip адрес сайта куда стучится программа.

Как результат бухгалтерский компьютер имеет прямой доступ только к одному ресурсу, в остальном так же ходит через ALG

спасибо, не додумался сам!