1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июн 29, 2025 21:37

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 15:02 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
непонятно как слушать 3010 снаружи))
Вернуться наверх
 Профиль  
 
Shkiper
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 15:53 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
Nikita_K писал(а):
Не работает, TCP_OPT 3400019 mismatching_tcp_window_scale adjust

это не причина по моему, какие IP источника и назначения у этой ошибки?
нарисуйте схему трафика
если проброс на шлюзе и на почтовике, то может слишком много пробросов?
пакет проходящий через правило allow, сможет преодолеть лишь один шлюз, при наличии второго, он не сможет вернуться, в этом случае нужен нат
если причина в этом, то "туда" все отрабатывает, т.е. есть нужное соединение в коннекшн статус, а на обратном пути, на интерфейсе второго шлюза (с т.ч. зрения пакета идущего обратно) будет сыпаться куча пакетов с IP назначения, на которые шлюз будет ругаться (если у него нет разрешающего правила для них)
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 16:57 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Каждый раз источник разный, направление внутрь на 3010
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 16:59 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Думаю попробовать использовать NAT вовнутрь, но будет ли это правильным и безопасным решением?
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 17:14 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Проставил вместо Allow NAT, ошибка вываливается на отрезке шлюз - почтовик
3400019 TCP wan1
lan 192.168.10.1
192.168.10.5 27081
3010 mismatching_tcp_window_scale
3400019 TCP wan1
lan 192.168.10.1
192.168.10.5 53808
3010 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2016-01-18
01:54:55 Warning TCP_OPT
3400019 TCP wan1
lan 192.168.10.1
192.168.10.5 15510
3010 mismatching_tcp_window_scale
adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 17:26 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Я так понимаю такой "двойной" проброс не осуществить.
Буду учить пользователей работать руками)) Спасибо
Вернуться наверх
 Профиль  
 
MTRX
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 17:59 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Nikita_K писал(а):
Я так понимаю такой "двойной" проброс не осуществить.
Shkiper писал(а):
нарисуйте схему трафика

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Пн авг 08, 2016 18:11 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Что конкретно нарисовать? Если словами то, пользователь(инет запрос 3010(HTTP)) - DFL(проброс на 3010(HTTP) на MD) - MD(перевод на 446(HTTPS))
Вернуться наверх
 Профиль  
 
Shkiper
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Вт авг 09, 2016 08:05 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
кажись понял
Nikita_K писал(а):
MD(перевод на 446(HTTPS))

это не операция с переназначением IP траффика, а переход на уровне браузера на 446-й порт (дайте нетстат с машины с MD с фильтром по нужным соединениям)
если так, то должно быть просто два правила sat на 3ххх и 446 (или создать отдельный сервис)
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Вт авг 09, 2016 10:21 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Имя Локальный адрес Внешний адрес Состояние
TCP 0.0.0.0:25 DC2:0 LISTENING
TCP 0.0.0.0:110 DC2:0 LISTENING
TCP 0.0.0.0:135 DC2:0 LISTENING
TCP 0.0.0.0:143 DC2:0 LISTENING
TCP 0.0.0.0:366 DC2:0 LISTENING
TCP 0.0.0.0:442 DC2:0 LISTENING
TCP 0.0.0.0:445 DC2:0 LISTENING
TCP 0.0.0.0:446 DC2:0 LISTENING
TCP 0.0.0.0:465 DC2:0 LISTENING
TCP 0.0.0.0:587 DC2:0 LISTENING
TCP 0.0.0.0:993 DC2:0 LISTENING
TCP 0.0.0.0:995 DC2:0 LISTENING
TCP 0.0.0.0:3010 DC2:0 LISTENING
TCP 0.0.0.0:3865 DC2:0 LISTENING
TCP 0.0.0.0:5432 DC2:0 LISTENING
TCP 0.0.0.0:47001 DC2:0 LISTENING
TCP 0.0.0.0:49152 DC2:0 LISTENING
TCP 0.0.0.0:49153 DC2:0 LISTENING
TCP 0.0.0.0:49154 DC2:0 LISTENING
TCP 0.0.0.0:49155 DC2:0 LISTENING
TCP 0.0.0.0:49163 DC2:0 LISTENING
TCP 0.0.0.0:49210 DC2:0 LISTENING
TCP 127.0.0.1:783 DC2:0 LISTENING
TCP 127.0.0.1:49561 DC2:49562 ESTABLISHE
TCP 127.0.0.1:49562 DC2:49561 ESTABLISHE
TCP 127.0.0.1:49563 DC2:49564 ESTABLISHE
TCP 127.0.0.1:49564 DC2:49563 ESTABLISHE
TCP 192.168.10.5:139 DC2:0 LISTENING
TCP 192.168.10.5:446 IP внешн:45800 TIME_WAIT
TCP 192.168.10.5:446 IP внешн:58859 TIME_WAIT
TCP 192.168.10.5:3865 IP внешн:16811 ESTABLISHE
TCP [::]:135 DC2:0 LISTENING
TCP [::]:442 DC2:0 LISTENING
TCP [::]:445 DC2:0 LISTENING
TCP [::]:3865 DC2:0 LISTENING
TCP [::]:5432 DC2:0 LISTENING
TCP [::]:47001 DC2:0 LISTENING
TCP [::]:49152 DC2:0 LISTENING
TCP [::]:49153 DC2:0 LISTENING
TCP [::]:49154 DC2:0 LISTENING
TCP [::]:49155 DC2:0 LISTENING
TCP [::]:49163 DC2:0 LISTENING
TCP [::]:49210 DC2:0 LISTENING
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:61741 *:*
UDP 192.168.10.5:137 *:*
UDP 192.168.10.5:138 *:*
UDP [::]:500 *:*
UDP [::]:4500 *:*
UDP [::1]:50034 *:*
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Вт авг 09, 2016 10:36 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
netstat -a | find /I "LISTENING"
TCP 0.0.0.0:25 DC2:0 LISTENING
TCP 0.0.0.0:110 DC2:0 LISTENING
TCP 0.0.0.0:135 DC2:0 LISTENING
TCP 0.0.0.0:143 DC2:0 LISTENING
TCP 0.0.0.0:366 DC2:0 LISTENING
TCP 0.0.0.0:442 DC2:0 LISTENING
TCP 0.0.0.0:445 DC2:0 LISTENING
TCP 0.0.0.0:446 DC2:0 LISTENING
TCP 0.0.0.0:465 DC2:0 LISTENING
TCP 0.0.0.0:587 DC2:0 LISTENING
TCP 0.0.0.0:993 DC2:0 LISTENING
TCP 0.0.0.0:995 DC2:0 LISTENING
TCP 0.0.0.0:3010 DC2:0 LISTENING
TCP 0.0.0.0:3865 DC2:0 LISTENING
TCP 0.0.0.0:5432 DC2:0 LISTENING
TCP 0.0.0.0:47001 DC2:0 LISTENING
TCP 0.0.0.0:49152 DC2:0 LISTENING
TCP 0.0.0.0:49153 DC2:0 LISTENING
TCP 0.0.0.0:49154 DC2:0 LISTENING
TCP 0.0.0.0:49155 DC2:0 LISTENING
TCP 0.0.0.0:49163 DC2:0 LISTENING
TCP 0.0.0.0:49210 DC2:0 LISTENING
TCP 127.0.0.1:783 DC2:0 LISTENING
TCP 192.168.10.5:139 DC2:0 LISTENING
TCP [::]:135 DC2:0 LISTENING
TCP [::]:442 DC2:0 LISTENING
TCP [::]:445 DC2:0 LISTENING
TCP [::]:3865 DC2:0 LISTENING
TCP [::]:5432 DC2:0 LISTENING
TCP [::]:47001 DC2:0 LISTENING
TCP [::]:49152 DC2:0 LISTENING
TCP [::]:49153 DC2:0 LISTENING
TCP [::]:49154 DC2:0 LISTENING
TCP [::]:49155 DC2:0 LISTENING
TCP [::]:49163 DC2:0 LISTENING
TCP [::]:49210 DC2:0 LISTENING
Вернуться наверх
 Профиль  
 
Shkiper
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Вт авг 09, 2016 11:37 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
у вас просто слушаются оба порта
т.е. с т.ч. трафика, Вы с клиентского компа из вне, открываете сначала страничку в браузере на порту 3010, потом открываете страничку на порту 446 (только последнее действие делает в браузере MD)
надо сделать два комплекта сат правил (или сделать сервис на 2 порта)
ну и конечно на компе MD должен быть 860-й шлюзом, файервол настроен (если есть) на пропуск внешних сетей
если не получается, то в первую очередь смотрите статус коннекшн на 860-м при попытках подключения, будут ли там соединения по нужным порта?
Вернуться наверх
 Профиль  
 
Nikita_K
 Заголовок сообщения: Re: Переадресация за экраном
СообщениеДобавлено: Вт авг 09, 2016 13:37 
Не в сети

Зарегистрирован: Вс май 15, 2016 12:07
Сообщений: 101
Спасибо большое за консультации. Проворонил закрытый порт 3010 на брандмауэре)) Все вроде заработало, буду тестировать.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 197

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB