glvn7
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору странный вопрос возник по 6-му kerio. насколько я понимаю в kerio траффик полиси описывает логические_соединения а не пакеты, те правило src=a dst=b srv=rdp permit разрешает не только исходящие пакеты для RDP соединия от А к B, но и ответные ВХОДЯЩИЕ от B к А, относящиеся к этому TCP_соедиению. В документации я это когда то сам для себя отмечал, а теперь найти никак не могу. Не вполне понятно как это обратное соответствие будет устанавливаться в случае UDP ... есть простое правило "src=локалка dst=ip_dns_сервера srv=dns pemit", те запросы к некому внешнему DNS из локалки, NATа - нет Проблема вот в чем - часть ответов от DNS, обратно в локалку не попадает по логам на шлюзе получается вот что: [11/Dec/2014 19:02:21] PERMIT "DNS_" packet from Гомель, proto:UDP, len:63, ip/port:__.___.3.1:63116 -> __.___.213.51:53, udplen:35 [11/Dec/2014 19:02:21] PERMIT "DNS_" packet to Минск, proto:UDP, len:63, ip/port:__.___.3.1:63116 -> __.___.213.51:53, udplen:35 [11/Dec/2014 19:02:21] PERMIT "DNS_" packet from Минск, proto:UDP, len:63, ip/port:__.___.213.51:53 -> __.___.3.1:63116, udplen:35 [11/Dec/2014 19:02:21] PERMIT "DNS_" packet to Гомель, proto:UDP, len:63, ip/port:__.___.213.51:53 -> __.___.3.1:63116, udplen:35 [11/Dec/2014 19:07:01] PERMIT "DNS_" packet from Гомель, proto:UDP, len:65, ip/port:__.___.3.1:61467 -> __.___.213.51:53, udplen:37 [11/Dec/2014 19:07:01] PERMIT "DNS_" packet to Минск, proto:UDP, len:65, ip/port:__.___.3.1:61467 -> __.___.213.51:53, udplen:37 [11/Dec/2014 19:07:13] PERMIT "DNS_" packet from Гомель, proto:UDP, len:61, ip/port:__.___.3.1:63665 -> __.___.213.51:53, udplen:33 [11/Dec/2014 19:07:13] PERMIT "DNS_" packet to Минск, proto:UDP, len:61, ip/port:__.___.3.1:63665 -> __.___.213.51:53, udplen:33 [11/Dec/2014 19:07:31] PERMIT "DNS_отв" packet from Минск, proto:UDP, len:65, ip/port:__.___.213.51:53 -> __.___.3.1:61467, udplen:37 [11/Dec/2014 19:07:31] PERMIT "DNS_отв" packet to Гомель, proto:UDP, len:65, ip/port:__.___.213.51:53 -> __.___.3.1:61467, udplen:37 [11/Dec/2014 19:07:43] PERMIT "DNS_отв" packet from Минск, proto:UDP, len:61, ip/port:__.___.213.51:53 -> __.___.3.1:63665, udplen:33 [11/Dec/2014 19:07:43] PERMIT "DNS_отв" packet to Гомель, proto:UDP, len:61, ip/port:__.___.213.51:53 -> __.___.3.1:63665, udplen:33 первый DNS запрос уходит и возращается нормально по тому же правилу "DNS_" ответы на второй и третий запросы приходят с задержкой и НЕ попадают под правило "соединения" к которому они относятся. Т.е. если не создать отдельное входящее правило "DNS_отв" часть ответов от сервера вообще ПОТЕРЯЕТСЯ экспериментально определил что при задержке 13с пакеты еще проходят а при 30с уже теряются, вот и ВОПРОС - как керио создает автоматическое правило для ОТВЕТНЫХ_ВХОДЯЩИХ_UDP_пакетов ?? явно в этом задействован какой то таймаут - где его покрутить ? .. или я чего то не понимаю в основах DNS, UDP, Kerio_TP ... ? |