Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Firewall - Странное поведение Kerio Control

Ответить
Настройки темы
Firewall - Странное поведение Kerio Control

Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать


Подскажите в чем может быть дело?!
Есть Kerio control и за ним Kerio Connect.
В контроле два правила. Первое правило маппинг из вне на коннект 993 порта и второе правило маппинг из вне 7654 порта на 993 порт коннекта.
если сделать тест 993 порта из вне:
openssl.exe s_client -showcerts -connect <айпи>:993
в логах почтовика две записи начало и конец соединения. конец соединения пока не прервешь или по истечении какого-то времени:
Код: Выделить весь код
[10/Jun/2019 14:52:58][23788] {imaps} Task 7915 handler BEGIN
[10/Jun/2019 14:53:17][23788] {imaps} Task 7915 handler END
если сделать тест 7654 порта из вне:
openssl.exe s_client -showcerts -connect <айпи>:7654
в логах почтовика следующие записи:
Код: Выделить весь код
[10/Jun/2019 14:51:47][28152] {imaps} Task 7914 handler BEGIN
[10/Jun/2019 14:51:47][28152] {imaps} Task 7914 handler starting
[10/Jun/2019 14:51:47][28152] {imaps} IMAPS server session begin; client connected from ***.***.***.***:64800
[10/Jun/2019 14:51:56][28152] {imaps} Session end, error reading line: (10054) Удаленный хост принудительно разорвал существующее подключение.
[10/Jun/2019 14:51:56][28152] {imaps} Server session end
[10/Jun/2019 14:51:56][28152] {imaps} Task 7914 handler END
Не могу понять, на каком месте контрол рубит соединение?!

Отправлено: 15:40, 10-06-2019

 

Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 5209
Благодарности: 959

Профиль | Сайт | Отправить PM | Цитировать


Цитата ANDiv1976:
Первое правило маппинг из вне на коннект 993 порта и второе правило маппинг из вне 7654 порта на 993 порт коннекта. »
Это не контрол рубит соединение, а коннект.
В логах коннекта что?

И зачем вообще порт 7654 перенаправлять на 993?

-------
Скачать ffmpeg для Windows: https://www.gyan.dev/ffmpeg/builds/


Отправлено: 17:30, 10-06-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: jpg скриншот.jpg
(44.6 Kb, 2 просмотров)

Цитата DJ Mogarych:
Это не контрол рубит соединение, а коннект.
В логах коннекта что?
И зачем вообще порт 7654 перенаправлять на 993? »
Вы уверены что именно коннект?
перенаправление сделал чтобы проверить - вообще есть соединение по 993 порту на коннекте

вот лог на коннекте при попытке соединиться на 993 порт через контрол.
порт 993 замаппен
Цитата:
[11/Jun/2019 06:22:38][23788] {imaps} Task 7934 handler BEGIN
[11/Jun/2019 06:22:38][23788] {conn} Connection from <внешний ip>:51361 to 192.168.1.224:993, socket 18428.
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL handshake started: before/accept initialization
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:before/accept initialization
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv2/v3 read client hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 Client requests server by name: <наш ip>
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 Used default server context for connection by name: <наш ip>
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write certificate A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write key exchange A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server done A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:22:57][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:22:57][23788] {conn} Cannot accept SSL connection from <внешний ip>:51361 to 192.168.1.224:993: SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:22:57][23788] {imaps} Task 7934 handler END
[11/Jun/2019 06:22:57][23788] {conn} Closing socket 18428
вот лог если подключаться через 7990, с маппингом на 993
Цитата:
[11/Jun/2019 06:23:10][28152] {imaps} Task 7935 handler BEGIN
[11/Jun/2019 06:23:10][28152] {conn} Connection from <внешний ip>:52236 to 192.168.1.224:993, socket 16796.
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL handshake started: before/accept initialization
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:before/accept initialization
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv2/v3 read client hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 Client requests server by name: <наш ip>
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 Used default server context for connection by name: <наш ip>
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write certificate A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write key exchange A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server done A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client key exchange A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read certificate verify A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read finished A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write session ticket A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write change cipher spec A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write finished A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL handshake done: SSL negotiation finished successfully
[11/Jun/2019 06:23:11][28152] {conn} Established secure server connection from <внешний ip>:52236 to 192.168.1.224:993 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000004FBAF58
[11/Jun/2019 06:23:11][28152] {imaps} Task 7935 handler starting
[11/Jun/2019 06:23:11][28152] {imaps} IMAPS server session begin; client connected from <внешний ip>:52236
[11/Jun/2019 06:23:25][28152] {imaps} Command afafas
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {imaps} Session end, error reading line: (10035) Операция на незаблокированном сокете не может быть завершена немедленно.
[11/Jun/2019 06:23:27][28152] {imaps} Server session end
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {conn} Closing socket 16796
[11/Jun/2019 06:23:27][28152] {imaps} Task 7935 handler END
так же прикрепил скриншот правил для почтовика на керио контроле

Отправлено: 08:14, 11-06-2019 | #3


Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 5209
Благодарности: 959

Профиль | Сайт | Отправить PM | Цитировать


Цитата ANDiv1976:
Вы уверены что именно коннект? »
Вам же контрол пишет прямо:
Цитата:
Удаленный хост принудительно разорвал существующее подключение.
Спрошу ещё раз: зачем вы сделали перенаправление порта 7654 на 993?
Насколько я могу судить, почтовик получает соединение с 7654, но отвечает по стандартному порту IMAPS. Это, естественно, работать не будет.

-------
Скачать ffmpeg для Windows: https://www.gyan.dev/ffmpeg/builds/


Отправлено: 10:14, 11-06-2019 | #4


Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата DJ Mogarych:
Спрошу ещё раз: зачем вы сделали перенаправление порта 7654 на 993?
Насколько я могу судить, почтовик получает соединение с 7654, но отвечает по стандартному порту IMAPS. Это, естественно, работать не будет. »
Для проверки и тестов.
И вы ошибаетесь. Почтовик получает соединение по 993 порту. а, вот шлюз сначала получает соединение по 7654, потом транслирует его в 993 и маппит на почтовик на 993 порт

Отправлено: 11:07, 11-06-2019 | #5


Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 5209
Благодарности: 959

Профиль | Сайт | Отправить PM | Цитировать


Я вам про почтовик и говорил.
Уберите перенаправление, это работать не будет.

-------
Скачать ffmpeg для Windows: https://www.gyan.dev/ffmpeg/builds/


Отправлено: 11:16, 11-06-2019 | #6


Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: jpg скриншот.jpg
(28.5 Kb, 5 просмотров)

Цитата DJ Mogarych:
Я вам про почтовик и говорил.
Уберите перенаправление, это работать не будет. »
так, вот как раз речь и идет о том, что если перенаправлять - то работает. если не перенаправлять то не работает.
смотрите скриншот правил. если подключаться по 993-му порту - не работает, если по 7990 - работает

Отправлено: 11:27, 11-06-2019 | #7



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Firewall - Странное поведение Kerio Control

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2012 R2 - Server 2012 и Kerio Control SPIRITic Windows Server 2012/2012 R2 7 31-03-2015 22:47
Kerio - Вопросы по Kerio Control malcolm666 Сетевые технологии 2 08-11-2013 12:55
Windows 2003 + Kerio Control freemadman Microsoft Windows NT/2000/2003 0 13-08-2013 14:49
Kerio - Kerio Connect и Control zaval4ik Сетевые технологии 2 23-12-2012 19:52
Kerio Control 7.3.2 Build 4445 OSZone Software Новости программного обеспечения 0 13-06-2012 21:30




 
Переход