https://opennet.dev/openforum/vsluhforumID1/95486.html Доброе время. Есть шлюз на фре uname -r 8.0-STABLE. запущен natd, простенький прокси oops. Прислали тонкого клиента 1с 8.2, его надо установить на одной машине в локалке и подключаться в головной офис к базе 1с. никак не могу понять, какие правила надо написать, чтобы это заработало(<br>&gt;[оверквотинг удален]<br>&gt;firewall_type="simple"<br>&gt;firewall_script="/etc/ipfw.rules"<br>&gt;ipfw add 100 deny tcp from 'table(1)' to me dst-port 22 in recv em0<br>&gt;ipfw add 300 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in &gt;via sis0<br>&gt;ipfw add 500 divert 8668 ip4 from any to any via em0<br>&gt;ipfw add 600 allow ip from any to any via lo0<br>&gt;ipfw add 700 deny ip from any to 127.0.0.0/8<br>&gt;ipfw add 800 deny ip from 127.0.0.0/8 to any<br>&gt;ipfw add 65000 allow ip from any to any<br>&gt;ipfw add 65535 deny ip from any to any<br><br>Если кто запускал такую связку - буду очень признателен, заранее спасибо<br> https://opennet.dev/openforum/vsluhforumID1/95486.html#27 Thu, 13 Mar 2014 20:25:24 GMT <br>&gt; да, удалил <br>&gt; 1394709052.787 20 192.168.24.137 TCP_MISS/204 422 GET http://САЙТ_МОСКОВИИ.ru/1c_ut_of01//e1cib/userSettings? <br>&gt; ITP+myDomainName NONE/- - <br>&gt; да, получается меня этим правилом <br>&gt; 00200 7706 1110562 fwd 192.168.24.3,3128 tcp <br>&gt; from 192.168.24.0/24 to any dst-port 80,8080 in via sis0 <br>&gt; кидает на сквид. В тонком клиенте пришлось поставить айпи и порт прокси, <br>&gt; а вот авторизацию он сам подтянул откуда-то <br>&gt; Еще раз огромное спасибо <br><br>отсюда можно сделать вывод, что клиент 1с не использует https ;)<br>и возможно, что использует для работы по http ядро internet explorer'a - тогда понятна и авторизация<br><br>ps. не люблю прозрачные прокси - поэтому не в курсе, как там организуется работа с авторизацией. так же как на непрозрачных или нет :)<br><br> https://opennet.dev/openforum/vsluhforumID1/95486.html#26 Thu, 13 Mar 2014 13:02:09 GMT &gt; а вот это уже я опечатался - и хорошо :) <br>&gt; кстати, а из вашего набора правил теперь следует, что клиент 1с работает <br>&gt; через прокси :) потому что до ната правило доходить не должно <br>&gt; :) посмотри логи сквида - что-то мне кажется, что там будут <br>&gt; соответствующие записи :) <br><br>получается так<br>&gt; первое тоже удалили?<br><br>да, удалил<br>1394709052.787 20 192.168.24.137 TCP_MISS/204 422 GET http://САЙТ_МОСКОВИИ.ru/1c_ut_of01//e1cib/userSettings? ITP+myDomainName NONE/- -<br><br>да, получается меня этим правилом<br>00200 7706 1110562 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0<br>кидает на сквид. В тонком клиенте пришлось поставить айпи и порт прокси, а вот авторизацию он сам подтянул откуда-то<br>Еще раз огромное спасибо<br><br><br> https://opennet.dev/openforum/vsluhforumID1/95486.html#25 Thu, 13 Mar 2014 11:02:55 GMT &gt;&gt; ща буду биться головой об стену :) <br>&gt; Не надо, пожалуйста. Потерпите меня еще немного <br>&gt;&gt; я просил вывод ipfw show - и даже пояснял, почему :) <br><br>а вот это уже я опечатался - и хорошо :) <br>кстати, а из вашего набора правил теперь следует, что клиент 1с работает через прокси :) потому что до ната правило доходить не должно :) посмотри логи сквида - что-то мне кажется, что там будут соответствующие записи :)<br><br>первое тоже удалили?<br><br>&gt;[оверквотинг удален]<br>&gt; 0 deny ip from any to 127.0.0.0/8 <br>&gt; 00800 0 <br>&gt; 0 deny ip from 127.0.0.0/8 to any <br>&gt; 65000 121728 74157699 allow ip from any to any <br>&gt; 65535 4769 502281 deny ip from any to <br>&gt; any <br>&gt; И оно заработало о_О <br>&gt; Вы уж меня простите, пожалуйста.<br>&gt; Спасибо всем, кто помогал.<br>&gt; Ещё раз простите за глупость <br><br> https://opennet.dev/openforum/vsluhforumID1/95486.html#24 Thu, 13 Mar 2014 10:49:01 GMT &gt; ща буду биться головой об стену :) <br><br>Не надо, пожалуйста. Потерпите меня еще немного<br>&gt; я просил вывод ipfw show - и даже пояснял, почему :) <br><br>удалил 400-е правило<br><br>00100 0 0 deny tcp from table(1) to me dst-port 22 in recv em0<br>00200 2199 158654 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0<br>00250 58 5178 fwd 192.168.20.3,3129 tcp from 192.168.20.0/24 to any dst-port 80,8080 via sis0<br>00260 0 0 fwd 192.168.20.3,3129 tcp from 192.168.1.0/24 to any dst-port 80,8080 via sis0<br>00300 113 11185 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in via sis0<br>00500 51175 31062685 divert 8668 ip4 from any to any via em0<br>00600 424 68008 allow ip from any to any via lo0<br>00700 0 0 deny ip from any to 127.0.0.0/8<br>00800 0 0 deny ip from 127.0.0.0/8 to any<br>65000 121728 74157699 allow ip from any to any<br>65535 4769 502281 deny ip from any to any<br><br>И оно заработало о_О<br>Вы уж меня п https://opennet.dev/openforum/vsluhforumID1/95486.html#23 Thu, 13 Mar 2014 10:13:52 GMT ща буду биться головой об стену :) вы понимаете, что и зачем вы пишите?<br><br>так, давайте пройдемся по правилам, благо далеко ходить не придется<br>правило 00001 - любые пакеты с вашего компа (с которого вы запускаете клиента) на любой адрес по портй 80 - всё, условия выполнены - пакет от 1с под них попадает - а теперь смотрим правило для перенаправления пакетов в natd - оно идет под номером 400 - но ваш пакет уже покинул ipfw - и до нат'а его никто доставлять не будет<br><br>ps. в третий раз повторю (хотя и так уже не надо) - я просил вывод ipfw show - и даже пояснял, почему :)<br><br>&gt;[оверквотинг удален]<br>&gt; 00400 deny tcp from 192.168.24.0/24 to any dst-port 80,8080 <br>&gt; 00500 divert 8668 ip4 from any to any via em0 <br>&gt; 00600 allow ip from any to any via lo0 <br>&gt; 00700 deny ip from any to 127.0.0.0/8 <br>&gt; 00800 deny ip from 127.0.0.0/8 to any <br>&gt; 65000 allow ip from any to any <br>&gt; 65535 deny ip from any to any <br>&gt; пока не запускается. При запуске клиента висит окно "Загрузка конфигурационной информации", <br>&gt; пробовал в https://opennet.dev/openforum/vsluhforumID1/95486.html#22 Thu, 13 Mar 2014 09:46:26 GMT Это снова я. Закоментил строку про флаги ната<br>&gt;grep nat /etc/rc.conf<br>&gt;natd_enable="YES"<br>&gt;#!natd_flags="-interface em0 -f /etc/natd.conf"<br>&gt;natd_interface="em0"<br><br>вот вывод правил<br>192.168.24.3 - шлюз со множеством алиасов (20.3, 30.3)<br>на порту 3129 висит прокси oops без авторизации, прозрачный<br>на порту 3128 висит прокси squid с доменной авторизацией<br>192.168.24.137 мой комп, на котором запускаю 1с клиента (1-е правило я добавлял и удалял, безрезультатно)<br><br>ipfw list<br>00001 fwd 192.168.24.3,3129 tcp from 192.168.24.137 to any dst-port 80,8080 in via sis0<br>00100 deny tcp from table(1) to me dst-port 22 in recv em0<br>00200 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0<br>00250 fwd 192.168.20.3,3129 tcp from 192.168.20.0/24 to any dst-port 80,8080 via sis0<br>00260 fwd 192.168.20.3,3129 tcp from 192.168.1.0/24 to any dst-port 80,8080 via sis0<br>00300 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in via sis0<br>00400 deny tcp from 192.168.24.0/24 to any d https://opennet.dev/openforum/vsluhforumID1/95486.html#21 Thu, 13 Mar 2014 05:46:42 GMT &gt;&gt;&gt;&gt; ключевая фраза <br>&gt;&gt;&gt;&gt;&gt; клиент нормально запускается из дома, или при подключении юсб-свистка <br>&gt;&gt;&gt;&gt; но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!<br>&gt;&gt;&gt;&gt; попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и <br>&gt;&gt;&gt;&gt; проверьте <br>&gt;&gt;&gt; э... а дома то при чем? дома у человека нат провайдер настраивает <br>&gt;&gt;&gt; :) <br>&gt;&gt; ага, и проброс портов для 1с, причем каждому пользуну по его спец.запросу <br>&gt; человеку надо из локалки наружу подключиться! при чем здесь проброс портов то? <br>&gt; :) <br><br>эту строку видим?<br>&gt; redirect_port tcp 192.168.24.100:3389 OUR_EXT_IP:3389<br><br>хотя, это же вы удивлялись, что у вас там ман "директивы" OUR молчит<br><br>redirect_port это и есть "проброс" порта "наружу", в данном конкретном случае 3389<br><br>а про "причем здесь проброс портов" это вы у ТС спросите<br> https://opennet.dev/openforum/vsluhforumID1/95486.html#20 Thu, 13 Mar 2014 05:43:10 GMT &gt;&gt; и что это за деректива OUR? - а то ман молчит <br>&gt; это не директива, это сокрытый от любопытных глаз исходящий реальник зашифрованный в <br>&gt; OUR_EXT_IP <br>&gt;&gt; попробуйте оставить голый нат - просто укажите интерфейс <br>&gt; то же самое и я ему советую )) <br><br>а, в этом смысле - просто человек приводит файл конфигурации - мало ли чего у него там вписано :)<br><br>на самом деле не требуется указывать внешний адрес <br><br>For example, the argument<br><br> tcp inside1:telnet 6666<br><br>means that incoming TCP packets destined for port 6666 on<br>this machine will be sent to the telnet port on the inside1<br>machine.<br><br>я так понимаю, что это попытка организовать доступ снаружи к виндовому серверу. <br><br> https://opennet.dev/openforum/vsluhforumID1/95486.html#19 Thu, 13 Mar 2014 05:39:33 GMT &gt;&gt;&gt; ключевая фраза <br>&gt;&gt;&gt;&gt; клиент нормально запускается из дома, или при подключении юсб-свистка <br>&gt;&gt;&gt; но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!<br>&gt;&gt;&gt; попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и <br>&gt;&gt;&gt; проверьте <br>&gt;&gt; э... а дома то при чем? дома у человека нат провайдер настраивает <br>&gt;&gt; :) <br>&gt; ага, и проброс портов для 1с, причем каждому пользуну по его спец.запросу <br><br>человеку надо из локалки наружу подключиться! при чем здесь проброс портов то? :)<br><br><br><br>