Comodo не пропускает HTTPS траффик, котороый идет через шлюз на компьютере.
Не получается создать правило, которое бы его пропускало.
Сейчас ситуация такая: мой компьютер, на котором стоит Comodo имеет IP 192.168.0.1 в локальной сети, он же выступает DHCP, он же шлюз, и на нем же осуществляется подлключение к интернет (+внешний IP).
В домашней локальной сети есть ноутбук (IP 192.168.0.90), шлюзом для него является мой 192.168.0.1.
При отключенном firewall проблем нет.
При включенном - трафик HTTPS не проходит. Любые соединения на порт 443 блокируются.
В Events появляется cтрока примерно следующего вида:
Windows system | TCP out | 192.168.0.90 | blocked | port XXXXX | какой-нибудь внешний IP | 443 | …
Помогите создать правило для пропускания такого вида трафика!
А В GR нет ли исх блокирующих правил? Или для System?
Если не чем не блокируется, то попробуй создать для system allow \ tcp \ 192.168.0.90)\ any\any\any
Firewall - Advanced - Firewall Behavior Settings - Alert Settings
Проверь стоит ли галочка This computer is an internet connection gateway (i.e. an ICS Server)
галочка This computer is an internet connection gateway (i.e. an ICS Server) - стоит.
Я заметил, что не пропускается вообще никакой трафик кроме HTTP
По поводу GR: у меня вверху сначала разешающие правила, но в самом низу стоит “Block all”; после того как я поменял это GR Block all на Allow all ситуация не поменялась.Так что проблема не в GR.
Если добавить в AR правило “All applications - trusted application” (в самый низ списка) - трафик на порт 443 начинает ходить.
В AR блокирующие правила есть только на браузер chrome - да и только в виде predefined policy - web browser.
На System стоит 2 правила - “Allow IP In any-any” и “Allow IP Out any-any”
Попробовал создать правило для System “allow \ tcp \ 192.168.0.90)\ any\any\any” - ситуация не поменялась.
Я правильно понимаю, что Comodo должен обходить правила для исходящих соединений в следующем порядке:
сначала ищется соответствующее приложение в AR, если не находится - выдается диалог вида “как поступить” и создается нове правило
Происходит попытка применить поочередно сверху вниз все правила для данного приложения. Если первое подошедшее правило - block, то соединение блокируется и дальше правила не смотрятся, если подошло правило allow, то следующие правила не рассматриваются, идем сразу на шаг 3. Если не подошло ниодно из правил, тоже идем на шаг 3
Проверка GR, тоже сверху вниз, до тех пор пока какое-нибудь не подойдет. Если подошло allow - то соединение разрешается, далье по правилам не идем. Если подошло block - соединение блокируется, остальные правила не рассматриваются. Если дошли до самого конца и ни одно правило не подошло - содединение разрешается.
ЗЫ. Уточню как в логе выглядят сообщения точно, см.аттач. Обратите внимание:
Заблокированный коннект на 443 порт - это результат выполнения команды
telent google.com 443
А выполнение
telent google.com 80
приводит к появлению строчки (ловлю глобальным правилом “разрешить все” с логированием)
svchost.exe | allowed | UDP | 192.168.0.90 | 60561 | 192.168.0.1 | 53
Файерволл работает в режиме Safe. Если перейти в training то ситуация не меняется.
О конфигурации сети:
Есть локальная сеть, на маршрутизаторе DLink-504. Маршрутизатор является шлюзом в локальную сеть провайдера (Corbina), DHCP сервер на маршрутизаторе отключен, внутренний статический IP маршрузтизатора 192.168.0.55.
Стационарный компьютер имеет внутренний IP 192.168.0.1, шлюзом для него является IP 192.168.0.55.
Подсоединение к интернет осуществляется через VPN-соединение на стационарном компе. На свойствах VPN-соединения стоит галка “позволять другим компьютерам сети использовать данное интернет-подключение”. (Эта галка как раз сменила локальный IP на 192.168.0.1 и подняла на компе DHCP, как я понимаю. Для исключени конфликтов на маршрутизаторе пришлось сменить IP и отключить DHCP)
теперь остался ещё один вопрос - в настройках 192.168.0.90 компа что стоит шлюзом по умолчанию?
Пуск-Выполнить-cmd
набрать
route print
в строчке default gateway должен стоять твой 192.168.0.1
Кстати, для ликбеза - ты не обязан оставлять 192.168.0.1, легко можно ставить что угодно из диапазона локальных адресов, но это оффтопик =)
OFFTOPIC: могу-то я могу, но я не знаю как параметры, раздаваемые вистой по DHCP можно настраивать. Т.е. я не знаю правильный ли после этого шлюз она будет раздовать.
Не могу точно ответить на Ваш вопрос.
Лично я реализовывал несколько иначе. На шлюзе я поднимал OpenVPN Server, расшаривал Microsoft VPN на эту “сеть”.
Далее на клиентском месте подключался по локалке к этому шлюзу по OpenVPN и спокойно использовал И-нет. (Естественно с указанием для system полного доступа в обе стороны для OpenVPN “сети”)
Оффтоп: вручную настраивай. Откажись от DHCP =) и будет тебе счастье полной настройки до последней строчки. Поищи в И-нете - там есть много примеров правильного расшаривания в ХР СП2 с независимостью от диапазона.
Ок, короче надо на англоязычной ветке спрашивать. Я пока остановился на варианте с AR “All applications - allow all”. В основном я все контролирую с помощью GR.
Единственный вопрос - если какое-либо новое приложение полезет в инет, CFW про него вопрос задаст или нет теперь?
Мне не хотелось бы чтобы без спросу приложения в инет лезли, если только я им явно не разрешил.
Оффт: я специально хочу чтоб был DHCP, чтобы любое новое устройство могло автоматически получить корректные настройки
При такой схеме, если в GR будет разрешающее правило, то при наличии в AR разрешения всем и вся ни какого предупреждения не будет. Ещё раз посмотри на схемку и сам ответь на свой вопрос =)
