8 сообщений / 0 новое
Последнее сообщение
altair11
Аватар пользователя altair11
Не в сети
Последнее посещение: 11 лет 4 месяца назад
Регистрация: 23/11/2012 - 10:18
Неограниченный доступ для хоста в сети

Добрый день.
Может кто поможет в следующей проблеме.
Имеется шлюз OpenSuse 12.1 настройка стандартная DNS+DHCP+SQUID+ SuseFirewall
Две зоны с двумя сетевыми картами eth0 - внешняя eth1 - внутренняя.
Работает нормально. Тут возникла необходимость поставить продукт фирмы polycom.
Эта штука требует несколько тысяч открытых портов. Практически ей нужен голый провод
чтобы она работала.
Набивать в YAST или в текстовике особого желания нет.
Вопрос такой можно ли средствами SuseFirewall открыть неограниченный доступ в инет
на конкретную машину? Либо порты открывать / пробрасывать / перенаправлять диапазонами.

Теги: 

Отредактировано: lecksys вкл 01/04/2014 - 22:11
gankov
Аватар пользователя gankov
Не в сети
Последнее посещение: 8 лет 3 месяца назад
Регистрация: 11/05/2012 - 22:27
Диапазонами естественно можно

Диапазонами естественно можно, странно что в справке яста про это ни слова. Вводится так 10000:11000

altair11
Аватар пользователя altair11
Не в сети
Последнее посещение: 11 лет 4 месяца назад
Регистрация: 23/11/2012 - 10:18
Тут такая странность что

Тут такая странность что порты открываются в брандмауэре только в разделе трансляция сетевых адресов. Там диапазоны указать невозможно. Только поштучно причем отдельно UDP и отдельно TCP. Диапазоны можно указать в интерфейсах зон. Но почему то от этого ни холодно ни жарко. Порты как были закрыты так и остались закрытыми. Хоть че там указывай. Правда если выбираешь службу из списка на зоне то она открывается вместе с портами. Но в списке только службы работающие на сервере и на хост внутри сети им глубоко наплевать. Так что это почему то не помогает.

gankov
Аватар пользователя gankov
Не в сети
Последнее посещение: 8 лет 3 месяца назад
Регистрация: 11/05/2012 - 22:27
Так, давайте не путать,

Так, давайте не путать, открытие портов во внешней зоне и трансляцию, это разные вещи. Если вы пробрасываете какой то порт с снаружи внутрь сети, дополнительно его открывать не надо. Это даже может навредить.

Далее когда я говорил, про диапазон, я имел ввиду именно в настройках трансяции. Так как предположил что вам именно это и нужно. В справке не нашел, поэтому тупо посмотрел как сделано у меня на одном из шлюзов. Вот как это выглядит http://susepaste.org/99717784 Это реально работающая конфигурация.

Да TCP и UDP, задаются отдельно, ну сделайте 2 правила если действительно надо и то и другое. Но обычно используется какой то конкретный протокол, а не оба.

altair11
Аватар пользователя altair11
Не в сети
Последнее посещение: 11 лет 4 месяца назад
Регистрация: 23/11/2012 - 10:18
Удивительно я именно это и

Удивительно я именно это и пытался сделать но почему то когда вношу в разделе трансляции диапазон портов получаю ошибку на символ " : "
Пробовал символ " - " тот же самый результат. В консольном правда не пробовал. Неужели консольный firewall отличается от графического.

altair11
Аватар пользователя altair11
Не в сети
Последнее посещение: 11 лет 4 месяца назад
Регистрация: 23/11/2012 - 10:18
Попробовал все равно ругается

Попробовал все равно ругается на " : " пишет недопустимый символ в имени порта. Разрешены символы "A-Z, a-z, *, + , - " На запись типа 49152-49535 вносит его но пишет что порт неизвестен системе и будет работать неверно. Хотя вот интересно что подразумевается по символом " * "
Пока в манах не нашел.

ivanovsky.mic
Аватар пользователя ivanovsky.mic
Не в сети
Последнее посещение: 3 месяца 2 недели назад
Регистрация: 08/06/2012 - 19:14
Доступ хоста (сети)

Доступ хоста (сети) с диапазоном портов можно задать в файле /etc/sysconfig/SuSEfirewall2
Там есть ключик: FW_MASQ_NETS=
Не все ключи видны в yast.

Ивановский Михаил

gankov
Аватар пользователя gankov
Не в сети
Последнее посещение: 8 лет 3 месяца назад
Регистрация: 11/05/2012 - 22:27
Сейчас проверил,

Сейчас проверил, действительно через консольный интерфейс диапазон тоже не задается. Значит просто в файле прописывали. Извиняюсь что ввел в заблуждение. Параметр уже указали выше.