Помогите, плз. Открыть порт. Где ещё роме файервола и сквайда порты открываютсь? Дело в том что один и тот же порт и на файерволе и на сквайде открыл, но сервер по-прежнему не пускает програмку через определённый порт... У меня уже скоро башня поедет.

Какой сервер и какой порт ?

Protsko
А уверены, что не пропускает? Может (если речь идёт о выходе в инет) просто при выходе из "серой" зоны в "белую" трансляции нет?

Теперь уже не уверен ни в чём. Порт 1950. А сервер Freebsd 5.2.

Protsko
Чтобы точно в этом убедиться, "послушайте" интерфейсы (как внутренний, так и внешний, но последний - в первую очередь) при помощи tcpdump'а и посмотрите, в каком виде, а главное - с каким адресом источника, уходят пакеты к цели. Если траффик в сети солидный, то лучше это делать в "тихое" время суток, а иначе трубецкой будет - не разглядите ничего за пробегающими строчками :).
Да, кстати, а посылка идёт от "серого" адреса или, таки, от "белого".

Вот кусочек дампа

sovgavan# tcpdump | more

tcpdump: listening on fxp0  #Это внешний интерфейс

17:02:00.095807 sovgavan.merlin.net.ua.49238 > ns.merlin.net.ua.domain:  3017
5+ A? mforex.ukrsotsbank.com. (40)

# А ВОТ ИМЕННО ЭТОТ ФОРЕКС ОТКАЗЫВАЕТСЯ РАБОТАТЬ

17:02:00.120179 ns.merlin.net.ua.domain > sovgavan.merlin.net.ua.49238:  3017
5 1/2/2 A[|domain]
17:02:00.120576 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: S 26712065
56:2671206556(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,timestamp 8779520 0
> (DF)
17:02:00.166456 212.109.35.28.http > sovgavan.merlin.net.ua.54090: S 36123043
4:361230434(0) ack 2671206557 win 33304 <nop,nop,timestamp 3663038778 8779520
,nop,wscale 1,mss 1460> (DF)
17:02:00.166629 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: . ack 1 wi
n 33304 <nop,nop,timestamp 8779525 3663038778> (DF)
17:02:00.167042 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: P 1:431(43
0) ack 1 win 33304 <nop,nop,timestamp 8779525 3663038778> (DF)
17:02:00.249266 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 431
win 33304 <nop,nop,timestamp 3663038785 8779525> (DF)
17:02:00.277633 212.109.35.28.http > sovgavan.merlin.net.ua.54090: P 1:233(23
2) ack 431 win 33304 <nop,nop,timestamp 3663038788 8779525> (DF)
17:02:00.278988 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: F 431:431(
0) ack 233 win 33304 <nop,nop,timestamp 8779536 3663038788> (DF)
17:02:00.280720 212.109.35.28.http > sovgavan.merlin.net.ua.54090: F 233:233(
0) ack 431 win 33304 <nop,nop,timestamp 3663038788 8779525> (DF)
17:02:00.280874 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: F 431:431(
0) ack 234 win 33304 <nop,nop,timestamp 8779536 3663038788> (DF)
17:02:00.338683 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 432
win 33304 <nop,nop,timestamp 3663038795 8779536> (DF)
17:02:00.342023 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 432
win 33304 <nop,nop,timestamp 3663038795 8779536> (DF)
17:02:00.364697 sovgavan.merlin.net.ua.49238 > ns.merlin.net.ua.domain:  3017
6+ A? trade.ukrsotsbank.com. (39)
17:02:00.393467 ns.merlin.net.ua.domain > sovgavan.merlin.net.ua.49238:  3017

Хм, связь есть... но почему-то они (и о чём-то) договориться не могут ...
И тут у меня закрались некоторые подозрения ... может система тут не причём?
Вот, что на сайте Укрсоцбанка было написано:
Доступен для работы торговый терминал MetaTrader
...
Настройки сервера: 212.109.44.22:1950

Я не могу понять где собака зарыта, но вчера машине прописал следующие правила: основной шлюз - айпи моего маршрутизатора, предпочитаемый и вторичный ДНС сервер - сервер моего провайдера. Отключил использование прокси-сервера. И представте - всё заработало. Но это ведь не выход. Во-первых: правила файервола на эту машину не действуют. Во-вторых: зачем машине обращаться к ДНС серверу провайдера, если это наша машина и у неё есть собственный ДНС сервер.
Может поможете? :(

Считать меня Protsko. Вообщем я предполагаю, что это всё из-за того, что ДНС настроен не маршрутизаторе по Фри, а на вин2000. Может в этом загвоздка?

если это наша машина и у неё есть собственный ДНС сервер.

значит, он неправильно настроен.

Значит нужно перенастраивать...:(

А можно конкретному пользователю закрыть конкретный сайт?

Guest
можно - через squid, а лучше squid+squidguard. Но стоит иметь в виду, что сейчас развивается такая вещь, как httptunneling, позволяющая заворачивать tcp/ip - пакеты в http-запросы. Соответственно, все может превратиться в бесконечную погоню за пользователем и воспитением у него хакерских наклонностей.

Так, не оффтопим.
Protsko
А попробуйтей настроиться на свой ДНС-сервер и по имени пингануть что-то снаружи... Коль в вас болтом запустят - ойте свой ДНС. Форвардеров настройте в ДНСе. Как в Винде делается - не знаю ...

Barracuda Интересная мысль. Но сейчас я имею такую схему:

_______        ____________________         __________     ____
|              |      |                                        |      |                   |    |       |
|Локалка |--- | маршрутизатор FreeBSD|--- | Провайдер |-- |Инет|
|_______|      |____________________|      |_________|     |____|
ТУт есть          Он настроен на их ДНС             Тут, есте-
Наш ДНС                                                            ственно
сервер                                                                свой ДНС
                                                                             Сервер
                                                                      и маршрутизатор

Ситуция такая
-За локалкой нет ничего
-за провом есть инет
-локалка настраивается на маршрутизатор, который перенаправляет в свою очередь пакеты маршрутизатору прова
- маршрутизатор прова направляет их в инет.

Всё выглядит не плохо, если пользовать прокси -сервер.
Все машины остаются в нашем домене.

С другой стороны программы отказываются (клиент-банки все) работать через прокси.

А вот если им настроить ДНС сервер Прова нашего и при етом указать основной шлюз наш маршрутизатор - всё работает на "УрА". Но это означает, что мы используем маршрутизатор, не для того что б пользоваться интернетом, а для того что б подключиться к ДНС серверу Нашего провайдера.

Вопрос: Зачем Для чего собственный ДНС, если половина компов подключена к нему, а половина к ДНС провайдера?

Теперь попробуем перенастроить ДНС на маршрутизаторе с Прова на нас. Тогда мы получим в нашем Домене ещё одну машину и потеряем маршрутизатор. Или я не прав?
С другой стороны. Это реально - перенастроить его на нас, но при этом прийдёться ещё что то менять, а вот что?
Я могу только догадываться, что таблицу маршрутизации прийдётся в корень изменить и ещё что - то в этом духе.
Может кто делал это реально?
И ещё есть предположение, что если сделать такие настройки, то реально пров из своего Домена потеряет одну машину :-). И что б всё заработало - нужно будет ещё и ему кое-какие настройки сделать... А ему это ух не понравится ;-))

Protsko
честно говоря, не вижу ничего страшного в том, чтобы, открыв на  маршрутизаторе FreeBSD 53 порт, пользоваться DNS-ом провайдера.
Если  это почему-то не вариант (а можно узнать почему?), то ставьте себе собственный DNS, который будет, например,  брать верхние зоны от провайдера, а внутренняя зона будет прописанна для ваших внутренних машин (и никого снаружи касаться не будет). Тут возможны всякие варианты, но для того чтобы с ними разбираться нужно четко определиться с задачами :)

честно говоря, не вижу ничего страшного в том, чтобы, открыв на  маршрутизаторе FreeBSD 53 порт, пользоваться DNS-ом провайдера.
Если  это почему-то не вариант (а можно узнать почему?),

mar

Да потому, что если у них прописан ДНС провайдера, то правила файервола на них не действуют.

Добавлено:

то ставьте себе собственный DNS, который будет, например,  брать верхние зоны от провайдера, а внутренняя зона будет прописанна для ваших внутренних машин (и никого снаружи касаться не будет).

mar

Так ДНС у нас стоит, а как научить его брать эти самые верхние зоны от провайдера?


Добавлено:

Вообщем проблему я решил.
В настройках машин клиентов прописал наш ДНС, а основной шлюз поставил айпишник нашего маршрутизатора.
Вот только не дегче от этого стало. Во-первых использование прокси-сервера на клиентских машинах нужно отключить и тогда клиент-банк заработает. А вот что б в инете полазить, то нужно обратно прокси включить. Вот так прийдётся пользователям каждый раз. Но это ведь не выход.
Во-вторых, машины, на которых порписан основной шлюз, в сеть начали логиниться ровно по 20 минут. Можете представить.

Так что лучше б я этого не видел и врагам не пожелаю....
:durak:

Да потому, что если у них прописан ДНС провайдера, то правила файервола на них не действуют
то есть это как???

Во-первых использование прокси-сервера на клиентских машинах нужно отключить и тогда клиент-банк заработает. А вот что б в инете полазить, то нужно обратно прокси включить
Если клиент-банк ходит через броузер, то в настройках броузера указать адрес, по которому ходим без прокси.

Во-вторых, машины, на которых порписан основной шлюз
если это (судя по рисунку) локалка (адреса вида 192.168.х.х), то основным и единственным шлюзом для них должен быть ip внутренней карточки Вашего FreeBSD-ого роутера.

Так ДНС у нас стоит
где? на роутере, или внутри на этих самых 192.168..... ?

то есть это как???
Вот так. Если стоит ДНС провайдера, то интернет летает без прокси, клиент-банк работает, но файерволом этим машинам запретить ничего нельзя. Они типа богов у нас в сетке.



Если клиент-банк ходит через броузер, то в настройках броузера указать адрес, по которому ходим без прокси.
Он не через броузер ходит. Есть два варианта:
1. создаётся для него отдельное диал-ап подключение (их номер телефона, их домен и т.п.)
2. Через интернет. В самой программе есть возможность выбрать тип подключения. Я выбираю его подключение и он по диал-апу своему колбасит. И есть ещё один пункт "Любое доступное". Это означает, что даже если я простым диалапом подключюсь к инету, а у него будет стоять эта настройка он его на лету поймает и пойдёт в банк по указанному в настройках программы адресу банковского сервера. Если же это не диал-ап, то пословам разработчиков этого клятого клиент-банка, при установке пункта "любое доступное" он автоматом определяет настройки прокси и вперёд.
Это всё работает, но не на том уровне. Если ДНС моего прова указан, то и клиент-банк работает и инет без явного указания прокси. Стоит только поставить наш ДНС. Всё перестаёт работать. Но как только прокси включить - инет работает, а клиент-банк - посылает.


если это (судя по рисунку) локалка (адреса вида 192.168.х.х), то основным и единственным шлюзом для них должен быть ip внутренней карточки Вашего FreeBSD-ого роутера.
Всё так и есть как Вы говорите. И сеть типа 192.168 и шлюз основной и единственный стоит адрес внутренней карточки нашего маршрутизатора под фри. ДНС стоит наш. вот в таки расскладах всё идеально. И праила файервола работают на все машины и клиент-банк ходит в сеть правда при условии что прокси не включена (при этом же условии и инет не работает просто на врема входа в инет нужно ручками прокси включить, тогда клиент-банк отключится), вот только компы эти логиниться начинают в сеть по 20 минут. Лихо?

где? на роутере, или внутри на этих самых 192.168..... ?

Я ж обрисовывал: на 192.168.....  свой ДНС, а на роутере ДНС прова....

Нихрена не понял... Причём тут файрвол до машин с установленным, в качестве ДНС-сервера, ДНС-сервером провайдера...
На роутере строите ДНС сервер, у которого, в качестве форвардера (есть такая фича полезная), стоит сервер провайера. В чём прелесть фичи - читайте матчасть. У меня именно так всё и работает. В качестве основного сервера ДНС на клиентах прописан наш сервер (он же роутер). Если (сервер) он не знает чей-то адрес, то он лезет в инет сам, а не клиент этим занимается... А клиенту вообще надо  отрубить выход по днс-запросам в инет - ибо нефиг лишний (хоть и копеечный) траффик генерить...
этого, чтобы не быть голословным, попробуйте по внешнему имени кого-нит пингануть (тот же yandex.ru - почему-то истрически сложилось так, что первым пингую его при проверке работы ДНС) и послушайте траффик при этом (на роутере, ессно). Если болт, то займитесь настройкой ДНС-сервера... Ну а если пингуется копайте глубже... То, что сквид резольвит имена - это далеко не факт корректной работы ДНС и, тем более, не факт корректной настройки сети в целом.