Zentyal 3.3 - не пингуется и не пропускает

[insiki]

Однозначно в прокси, раз по https пускает, а по http не хотит.

[warkan]

Всё по-умочанию. Никаких настроек прокси. Может в этом дело... Браузер - Opera

[logdog]

установить 192.168.1.7 по порту 3128

[warkan]

А в подпунктах меню "HTTP-прокси":
- Профили фильтра;
- Списки категорий;
- Управление полосой пропускания;

должны быть какие-то правила или они могут быть пустыми?

[warkan]

Нет, настройка прокси в Opera не помогает.
Есть разница: "прозрачный прокси" включен или выключен?


... блин, даже RDP без проблемм пошел...


А ещё... пункт "HTTP-прокси - Управление полосой пропускания" есть правило: для группы (на диапазон IP 1-255) - "всё разрешено".

[insiki]

http://forum.zentyal.org/index.php/topic,20336.msg77643.html#msg77643

[insiki]

General Settings - Transparent Proxy (поставь галку)
Порт - 3218

Access Rules
All time     Any     Allow All

Packet Filter ❱ Internal networks
Accept     Any    Any     Any

[warkan]

Всем большое спасибо! Заработало.
Осталось настроить права/правила.
Огромное СПАСИБО insiki за ссылку - просто и по-существу.

Не пойму только один момент: на тестовой машине (win7 32 max) теперь (когда шлюз и DNS - Zent-сервер) разом пингуются и доступны ДВЕ подсети - ..0.255 и ..1.255! Как это? Чудеса..... Может кто знает - в  чём прикол? Чисто в плане личного развития

[insiki]

У тебя в Packet Filter ❱ Internal networks создано правило accept - any - any - any ?
Попробуй сделать только accept - any - any - https (например) и проверь. -)
По идеи для того, чтобы была доступна другая сеть, нужно прокидывать маршруты, но когда разрешаешь через forward (internal networks) вообще все, то машину пускает не только пинговать, но и заходить в админку (например) на модем за NAT, нпр. из сети ...1.0/24 через шлюз (NAT) на модем за натом ...0.1/24 соответственно и в остальные хосты подсети тоже.

[warkan]

Да, всё так и есть. Спасибо за подсказку. Оставлю эту лазейку только для админской машины.


А как сработает галочка "Обратное соответствие" у полей "Источник", "Назначение", "Служба"?
Понятно. Это как бы добавление приставки "Кроме" к описываемому условию.


И почему "Неправильное значение Исходный IP: 192.168.1.9/24.", если маска подсети 255.255.255.0? В википедии вроде так написано... Научите, пожалуйста.

[bubnov-pi]

И почему "Неправильное значение Исходный IP: 192.168.1.9/24.", если маска подсети 255.255.255.0? В википедии вроде так написано... Научите, пожалуйста.

Зачастую при указании маски /24 предполагается, что последний байт - 0, т.е. в некоторых случаях запись 192.168.1.9/24 может считаться неверной, хотя на деле она ничем не отличается по смыслу от канонической 192.168.1.0/24 ("верной")

*для указания единичного адреса используется маска /32, то есть, для сопоставления совпадения используются все 32 бита IP адреса, иными словами, 192.168.1.9/24 == 192.168.1.59/24 == 192.168.1.159/24 == любой адрес из подсети 192.168.1.0, но 192.168.1.9/32 равен только себе самому...

[warkan]

Я, конечно, ламьё виснутое и криворукое, но заморачиваться c CIDR IP-адресацией не стал. Для указания единичного адреса "выкрутился" используя диапазон адресов, указывая как начало и конец один и тот же адрес.

[warkan]

Не могу понять....

В объектах сети - 2 подгруппы: 192.168.0.Х  и 192.168.1.Х.

HTTP-proxy:
прозрачный = 0 (ставишь "1" - не работает браузер)
правила доступа = всегда, всем, всё.

Брандмауэр - фильтр пакетов6
Из внутренних на шлюз:
всем: нельзя SSH; можно: любой tcp/udp, http, https, dns, администрирование.

Внутренние сети:
объекту "Подсеть 192.168.1.Х" можно везде всё.

Изначально пробовал с машины под win7 max. У неё 192.168.1.9. Проверил - всё ок! Обрааадовался....

Пробую другие адреса (там 192.168.1.12 и прочие...) - хрен. Браузер не работает. Но пинги на внутрений интерфейс шлюза, на ya.ru, mail.ru идут. На всех ip-адресах. Торрент качает. А браузеры - нет.
Подумал - это семерка "исполняет". Взял на другой машине (с win xp) прописал ...168.1.9 - всё работает, красота. Поставил ..168.1.12 - браузеры молчат.

Как будто где прописано в шлюзе - по http работать только с одним адресом - 192.168.1.9. А остатьным - бок.
Правила все перерыл - ничего.
Как так? Может гдеместо особое?
В объектах сети нигде особо этот адрес не указан уже. Только как один из диапазона....

Что ж ему нужно то..... Подскажите. Пожалуйста.


p.s.: может дело в имени пользователя? Пользователь под которым ведется проверка на машине ...168.1.9 называется также, как и пользователь шлюза, указанный при создании. Хотя на машине с ХР был другой пользователь - всё работало....

[warkan]

А может с другой стороны зайти... Где у этой бяки файлы настроек лежат?
Может она в вэбморде одно показывает, а работает по другим параметрам.
Может такое быть?