https://slinkov.ru/openforum/vsluhforumID12/4200.html Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.<br>Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация юзврей как в систему так и в инет. Бюстгалтерия работает с банком при помощи Java приложения. Java по портам 9443 и 9080 ведет авторизацию с банком. Это была присказка, а вот теперь начинается сказка.<br>В понедельник все работало, во вторник уже не работает банк-клиент.<br>Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open то биш все открыто, ситуация не изменилась.<br>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида <br>СКВИД<br><br>#!!!<br>acl SSL_ports port 411 443 563 4430 9443 9080<br>acl Safe_ports port 80# http<br>acl Safe_ports port 21# ftp<br>acl Safe_ports port 443 563# https, snews<br>acl Safe_ports port 70# gopher<br>acl Safe_ports port 210# wais<br>acl Safe_ports port 1025-65535# unregistered ports https://slinkov.ru/openforum/vsluhforumID12/4200.html#10 Mon, 24 Aug 2009 09:54:14 GMT Я в настройках Java Console ставил Direct connect, а в ipfw открывал эти порты, всё работает на ура...<br> https://slinkov.ru/openforum/vsluhforumID12/4200.html#9 Wed, 15 Jul 2009 12:30:16 GMT оказывается "Java Web Start" по адресу http://filials.payment.ru/?enter не может соединиться, а вот "Java апплет" может. В чём причина я НЕ понимаю :(<br> https://slinkov.ru/openforum/vsluhforumID12/4200.html#8 Wed, 15 Jul 2009 10:23:16 GMT Точно такая же проблема с точно таким же банк клиентом. Только у меня с одного компа заходит. А с другого нет. Вообще не пойму в чём косяк. Всё уже перерыл.<br>SSL_ports 9080 9443 80<br>Safe_ports 9080 9443 80<br>http_access deny !Safe_ports<br>http_access deny CONNECT !SSL_ports<br><br>Я не так давно администрирую фряху и соотв. не всё понимаю - но тут вроде всё чисто. ipfw смотрел. Вообщем не знаю.<br><br>Подскажите пожалуйста как прокинуть эти три порта через NAT миную прокси ?<br>И ещё такой вопрос. При соединении ява апплет на одном компе открывает новое окошко где пишет свои логи по коннекту, это на том компе на котором соединяется. А на втором нет такого окна, может кто-то знает как включить эти логи ?<br> https://slinkov.ru/openforum/vsluhforumID12/4200.html#7 Mon, 07 Aug 2006 05:26:28 GMT &gt;В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида <br>СКВИД<br>А что в логах то ?<br>если ipfw мешает то в cache.log должна быть запись о неудачной попытке соединения на такойто ip на такойто порт,а в ассеss логе должна быть 503 ошибка <br><br>Может сервера банка перегружены о долго устанавливают соединения а прокся закрыват их по таймауту<br><br>Если java клиент добирается до сквида то полюбому в логах это должно быть видно<br><br>Попробуй с сервера телнетится на порты банка может их тебе по пути срезают где-нибудь <br> https://slinkov.ru/openforum/vsluhforumID12/4200.html#6 Wed, 26 Jul 2006 08:07:50 GMT nat +1<br> <br> https://slinkov.ru/openforum/vsluhforumID12/4200.html#5 Fri, 14 Jul 2006 18:34:22 GMT попробуй переинициализировать кешь<br>может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами :) https://slinkov.ru/openforum/vsluhforumID12/4200.html#4 Fri, 14 Jul 2006 18:31:08 GMT может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами. Попробуй создать заново кешь. https://slinkov.ru/openforum/vsluhforumID12/4200.html#3 Fri, 14 Jul 2006 06:20:21 GMT &gt;&gt;http_access allow !Safe_ports <br>&gt;&gt;если не глючу <br>&gt;&gt;ето означет пропустить все порты кроме Safe_ports <br>&gt;&gt;<br>&gt;&gt;как я делаю: <br>&gt;&gt;acl icq_port port 5190 <br>&gt;&gt;acl bank port 443 <br>&gt;&gt;acl ssl_t port 563 <br>&gt;&gt;acl connect method CONNECT <br>&gt;&gt;<br>&gt;&gt;http_access allow connect ssl_t <br>&gt;&gt;http_access allow connect icq_port <br>&gt;&gt;http_access allow connect bank <br>&gt;&gt;<br>&gt;&gt;попробуй так <br>&gt;<br>&gt;<br>&gt;Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений. <br>&gt;#!!! <br>&gt;acl SSL_ports port 411 443 563 4430 <br>&gt;acl ssl_t port 563 4430 <br>&gt;acl Safe_ports port 80 # http <br>&gt;acl Safe_ports port 21 # ftp <br>&gt;acl Safe_ports port 443 563 # https, snews <br>&gt;acl Safe_ports port 70 # gopher <br>&gt;acl Safe_ports port 210 # wais <br>&gt;acl Safe_ports port 1025-65535 # unregistered ports <br>&gt;acl Safe_ports port 280 # http-mgmt <br>&gt;acl Safe_ports port 488 # gss-http <br>&gt;acl Safe_ports port 591 # filemaker <br>&gt;acl Safe_ports port 777 # multiling http <br>&gt;#!!! <br>&gt;acl Safe_ports port 411 4430 # PSBClient <br>&gt;acl connect method CONNECT <br>&gt;acl https://slinkov.ru/openforum/vsluhforumID12/4200.html#2 Wed, 12 Jul 2006 05:12:36 GMT &gt;http_access allow !Safe_ports <br>&gt;если не глючу <br>&gt;ето означет пропустить все порты кроме Safe_ports <br>&gt;<br>&gt;как я делаю: <br>&gt;acl icq_port port 5190 <br>&gt;acl bank port 443 <br>&gt;acl ssl_t port 563 <br>&gt;acl connect method CONNECT <br>&gt;<br>&gt;http_access allow connect ssl_t <br>&gt;http_access allow connect icq_port <br>&gt;http_access allow connect bank <br>&gt;<br>&gt;попробуй так <br><br><br>Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений.<br>#!!!<br>acl SSL_ports port 411 443 563 4430<br>acl ssl_t port 563 4430<br>acl Safe_ports port 80# http<br>acl Safe_ports port 21# ftp<br>acl Safe_ports port 443 563# https, snews<br>acl Safe_ports port 70# gopher<br>acl Safe_ports port 210# wais<br>acl Safe_ports port 1025-65535# unregistered ports<br>acl Safe_ports port 280# http-mgmt<br>acl Safe_ports port 488# gss-http<br>acl Safe_ports port 591# filemaker<br>acl Safe_ports port 777# multiling http<br>#!!!<br>acl Safe_ports port 411 4430 # PSBClient<br>acl connect method CONNECT <br>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 &lt;- айп