Добрый день!
Имею фаер DFL-800, версия прошивки 2.11.03
Столкнулся с такой проблемой.
1. Имею NAT правило для подключения к интернет провайдеру через PPOE в котором указано Service - all_tcpudp. Это правило позволяет любым сервисам выходить в Интернет.
2. Создал ALG список http-multimedia и внес в него один объект Blacklist > *mp3*
3. Этот ALG список я включил в объект Services > all_tcp, который входит в указанную группу all_tcpudp
Именно в этот момент у меня перестали работать все шифрованные соединения, т.е., в моем случае, соединения RealVNC и прием почты по POP3 SSL (995 порт). Причем не только по соединению с провайдером (PPOE) но и по VPN интерфейсам (IPSEC).
Как только убираю ALG список из all_tcp - все работает.
Логи не смотрел - не было времени.
Может кто-то мудрейший подскажет на вскидку - как с этим бороться? Хотелось бы услышать, конечно, ответ с пояснениями.
Спасибо!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Тоже на вскидку. Мне кажется неправильным включать это ограничение в группу сервисов. Создай отдельное правило.

Покажите настройки http-multimedia

Я не включал его в группу сервисов. Я включил его в сервис http-all или что-то в этом роде. А уже этот сервис входит в группу, которой открыт доступ в мир. Собственно, это, если не ошибаюсь, настройка взятая из инструкции, я не сам придумывал описания сервисов, а брал готорые из предопределенного списка.

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Каким образом это сделать?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Только что, обнаружил, что в моей версии прошивки 2.11.03 в описании объекта HTTP Application Layer Gateway появилась новая вкладка File Integrity Control. В ней можно указать расширения блокируемых типов файлов. Может, лучше ей воспользоваться, а не прописывать их в обычном списке ALG?

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Да, расширения блокируются именно там.
Применять ALG на HTTP трафик бессмысленно, он шифрованый. ALG заглянуть в пакет не сможет.

Вы хотели сказать - HTTPS трафик?
Давно уже хотел описать решение проблемы, да никак руки не доходили. Так вот.
Создал я описание сервиса all_TCP_but_HTTP (так я его назвал) и прописал в нем порты 0-79, 81-65535
А сервис http (порт 80) уже был создан по-умолчанию. Вот в его описание я и включил ALG deny_multimedia с настроеными ключевыми фразами.
Затем я создал группу сервисов my_custom_outbound_group и включил в нее сервисы all_TCP_but_HTTP, http и all_udp.
И после, включил эту группу а NAT правило для интернет-интерфейса.

И все работает.

Только одно удивляет - как это разработчики файера не додумались сделать импорт объектов блокирования (подстрок, расширений файлов) из текстового файла??? Или хотя-бы сделали предустановленные наборы таких объектов, как в ISA Server...

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Проблема до конца не решилась. Суть ее в следующем. При попытке скачать любой файл (т.е. не заблокированный через ALG) в браузере появляется сообщение

Крутил везде, но так и не смог понять, почему это происходит. Пришлось временно отключить ALG.

Подскажите, что не так? Спасибо!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Прошивка какая?

Версиия прошивки 2.11.03

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Попробуй обнови до 2.12

Пробую... Отпишусь по результатам

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.

Прошивку обновил и глюк исчез. Ррррреспект!

_________________
http://www.3cx.com.ua - VoIP АТС 3CX. Работает под Windows XP/7/2003/2008. Интергация с Outlook, 1С, CRM. Работает с оборудованием D-link. Идеальна для Windows админов.