Всем привет! Столкнулся в такой проблемой: компьютер, на котором стоит комодо, является шлюзом в интернет для локальной сети. Он пробрасывает один порт из инета в локальную сеть на локальный компьютер по средствам винды (в настройках подключения). Так вот, при включеном комодо - невозмжно соединиться. Комодо блокирует. Но нигде это не отображено. Ни в заблокированных подключениях, ни каких запросов во время обучения в общем ничего, тишина((( А если отключить - то сразу все отлично рабтает. Как настроить, куда копать?
Надюсь понятно объяснил:-[
Доброе время суток! примерно такая же проблема. Компьютер является инет-шлюзом-биллингом: Windows 2003 сервер+Traffic Inspector+Comodo Firewall 5.5, на этой машине естественно две сетевые карты (одна Inet, другая Local). Средствами Windows поднят NAT. Необходимо пробросить 22 порт (для подключения к другому серверу внутри сети)…
У меня настроены правила, закрывающие все порты на интерфейсе Inet, открыты только несколько. Также я открыл 22 порт на этом интерфейсе, но с инета не могу к нему подконектится.
Наборы правил прилагаю…
[attachment deleted by admin]
Посмотрите стоит ли у Вас “галка” в ФАЕРВОЛ-Настройки Фаервола-Настройки оповещений-Этот комп является интернет-шлюзом. А также гляньте галку в РАЗНОЕ-Настройки-Показывать всплывающие сообщения. 
!ot! Извиняюсь, но все же… Если сервак интернет шлюз, может лучше глянуть на бесплатный инет шлюз с Веб управлением Clearos
!ot!
согласен, но пока оно так как оно есть… на новый сервер планируем переходить рассматриваю многие варианты (необходимые условия: платформа NIX, бесплатность, ну или почти бесплтаность :), по возможности безгеморойная настройка, может много хочу, но все же…), пока не решил на чём остановлюсь.
felixio_01, я бы посоветовал инвертировать логику Вашего первого блокирующего глобального правила. Т.е. Набор портов задал бы без инверсии (просто 22, 53 и т.д., а не не_22, не_53…) и само правило бы поменял бы на “блокировать если не в наборе таком-то”.
спасибо, попробую, завтра отпишусь (щас не на работе:) )…
Заодно ещё знаете что попробуйте, если не лень. Изменится ли что-нибудь, если этот 22-й порт поставит первым в его группе. Или единственным в группе.
дело в чём, я как видно из правил открыл на ружу порт 3389 (удалённый рабочий стол), т.е. это работает и я могу подключаться из внешки (инета) к своему серверу удалённым рабочим столом. а к 22 порту нет, может потому что он пробрасывается на комп внутри локалки??? типа не происходит перенаправления запроса… кстати, до установки я мог подключаться к серверу (который находится внутри локалки) по 22 порту, т.е. проброс портов настроен правильно.
Т.е. Вы хотите сказать, что если Вы оставите 22-й исключительно за данным хостом, то коннект будет? Кстати, “смысл” портов стандартный? 22-й здесь - ssh?
P.S. Вот ещё что, у меня сейчас, нет под рукой ни одного виндового сервера и я к своему стыду не помню, реализована ли RRAS в целом и “NAT/basic firewall” отдельным экзешником или работает под сервис-хостом. Но меня лично смущает, что у Вас сильно зажаты правилами “System”, “svchost” и “alg”. В логах нет ничего по этому поводу, благо логирование включено?
не совсем понял вопроса.
так, попробую прояснить картину:
|inet|----|шлюз|----|сервер в локальной сети с открытым 22 портом|
Я хочу сказать что до установки comodo firewall, я мог из инете подключаться к |сервер в локальной сети с открытым 22 портом| так как на |шлюз| был настроен проброс 22 порта на |сервер в локальной сети с открытым 22 портом|. Т.е. грубо говоря, если я где нибудь подключаюсь из инета к |шлюз| по 22 порту (т.е. по SSH) то попадаю на |сервер в локальной сети с открытым 22 портом|. вообщем, примерно так… не подумайте ничего плохого, я пишу это для полной ясности.
После установки comodo firewall, я не могу подключиться на |сервер в локальной сети с открытым 22 портом|, при тех правилах которые у меня на скрине.
Кстати, "смысл" портов стандартный? 22-й здесь - ssh?
да конечно.
на сколько понимаю alg как раз и принимает участие в организации NAT, но я ему перекрыл только 21 порт. что то с локалки лезло наружу, создовая огромное количество конекшенов на внешние айпишники по 21 порту… ну а остальное зажато так сервер виндовый, без антивируса, чтоб по меньше к нему цеплялось разной заразы…
Кстати в лога нет ничего такого подозрительного, но заметил в последнее время что в логах стало фиксироваться меньше событий… не знаю с чем это связанно, может оно действительно так а может мне просто показалось…и ещё, попытки подключения по 22 порту из инета, тоже не логировались, когда включал для соответствующего правила логирование… но при этом другие попытки из вне на подключение к каким либо портам в логах отображались (были порты 5 значные, вирусня может какая лезла)
По идее всем этим занимается драйвер ipnat.sys. И он будет “рассматриваться”, как “System”. А для “system” у Вас только локальный доступ. Так что я бы глянул логи на этот предмет. А вот кто конкретно занимается этим в юзермоде - не помню. В клиентах это ipnathlp.dll под сервис-хостом, верверах - не уверен сейчас. Хотя, по идее, это второй вопрос.
ок я понял идею, щас буду проверять. отпишусь о результатах
посмотрел на правила для System -там вроде всё разрешено, вот скрины…
[attachment deleted by admin]
Ну я и говорю, разрешена только локальная активность, а коннектитесь Вы снаружи…
создал правило для System: разрешить входящие запросы по TCP и UDP, адрес отправителя:любой, адрес назначения: INET_adapter, где порт отправителя любой, порт назначения 22.
но без результатно…
А в логах что? Сделайте два правила, глобальное разрешающее входящих на 22 с логированием и, пока предположительно для System, аналогичное разрешающее с логированием. И посмотрите, что будет в логах.
в правиле для system включил логирование, создал новое разрешающе правило с логированием в Глобальных правилах. что интересно в логах ничего не фиксируется (при попытке конекта из вне)… странно…
Ладно, давайте зайдём с другой стороны. Как я понимаю, с выключенным ФВ всё работает. Вы можете при этом, и при установленном соединении, разумеется, сделать список всех открытых соединений, скажем, с помощью TCPView? Ссылка, на всякий случай.