Доброе время. Есть шлюз на фре uname -r 8.0-STABLE. запущен natd, простенький прокси oops. Прислали тонкого клиента 1с 8.2, его надо установить на одной машине в локалке и подключаться в головной офис к базе 1с. никак не могу понять, какие правила надо написать, чтобы это заработало(
>[оверквотинг удален]
>firewall_type="simple"
>firewall_script="/etc/ipfw.rules"
>ipfw add 100 deny tcp from 'table(1)' to me dst-port 22 in recv em0
>ipfw add 300 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in >via sis0
>ipfw add 500 divert 8668 ip4 from any to any via em0
>ipfw add 600 allow ip from any to any via lo0
>ipfw add 700 deny ip from any to 127.0.0.0/8
>ipfw add 800 deny ip from 127.0.0.0/8 to any
>ipfw add 65000 allow ip from any to any
>ipfw add 65535 deny ip from any to any

Если кто запускал такую связку - буду очень признателен, заранее спасибо

• тонкий клиент 1с,Pahanivo, 11:10 , 12-Мрт-14
  • тонкий клиент 1с,Happy_demon, 11:37 , 12-Мрт-14
    • тонкий клиент 1с,Алексей, 13:09 , 12-Мрт-14
      • тонкий клиент 1с,Happy_demon, 13:17 , 12-Мрт-14
        • тонкий клиент 1с,Алексей, 13:30 , 12-Мрт-14
          • тонкий клиент 1с,Happy_demon, 13:39 , 12-Мрт-14
            • тонкий клиент 1с,Алексей, 14:04 , 12-Мрт-14
            • тонкий клиент 1с,arachnid, 14:14 , 12-Мрт-14
              • тонкий клиент 1с,Happy_demon, 19:29 , 12-Мрт-14
                • тонкий клиент 1с,arachnid, 19:41 , 12-Мрт-14
        • тонкий клиент 1с,Дум Дум, 09:31 , 13-Мрт-14
• тонкий клиент 1с,михалыч, 22:11 , 12-Мрт-14
  • тонкий клиент 1с,Happy_demon, 06:58 , 13-Мрт-14
    • тонкий клиент 1с,михалыч, 07:22 , 13-Мрт-14
      • тонкий клиент 1с,arachnid, 08:12 , 13-Мрт-14
        • тонкий клиент 1с,михалыч, 09:14 , 13-Мрт-14
          • тонкий клиент 1с,arachnid, 09:39 , 13-Мрт-14
            • тонкий клиент 1с,михалыч, 09:46 , 13-Мрт-14
    • тонкий клиент 1с,arachnid, 08:17 , 13-Мрт-14
      • тонкий клиент 1с,михалыч, 09:16 , 13-Мрт-14
        • тонкий клиент 1с,arachnid, 09:43 , 13-Мрт-14
          • тонкий клиент 1с,Happy_demon, 13:46 , 13-Мрт-14
            • тонкий клиент 1с,arachnid, 14:13 , 13-Мрт-14
              • тонкий клиент 1с,Happy_demon, 14:49 , 13-Мрт-14
                • тонкий клиент 1с,arachnid, 15:02 , 13-Мрт-14
                  • тонкий клиент 1с,Happy_demon, 17:02 , 13-Мрт-14
                    • тонкий клиент 1с,arachnid, 00:25 , 14-Мрт-14

> Доброе время. Есть шлюз на фре uname -r 8.0-STABLE. запущен natd, простенький
> прокси oops. Прислали тонкого клиента 1с 8.2, его надо установить на
> одной машине в локалке и подключаться в головной офис к базе
> 1с. никак не могу понять, какие правила надо написать, чтобы это
> заработало(

мне интересно лишь каким образом вы пытались это понять?

> мне интересно лишь каким образом вы пытались это понять?

пытался понять что именно?

>> мне интересно лишь каким образом вы пытались это понять?
> пытался понять что именно?

Поясните что имеется в виду под название "тонкий клиент" применимо к 1С (web-client, RemoteApp)?

> Поясните что имеется в виду под название "тонкий клиент" применимо к 1С
> (web-client, RemoteApp)?

Архив, в нем setup.exe ставим, подключаемся. В настройках подключения надо выбрать тонкий клиент. вэб клиент, к сожалению не работает на этом сервере. При попытке подключения тонкого клиента - просто висит окно "Загрузка конфигурационной информации". И это точно надо настраивать на шлюзе с freebsd, т.к. клиент нормально запускается из дома, или при подключении юсб-свистка

>> Поясните что имеется в виду под название "тонкий клиент" применимо к 1С
>> (web-client, RemoteApp)?
> Архив, в нем setup.exe ставим, подключаемся. В настройках подключения надо выбрать тонкий
> клиент. вэб клиент, к сожалению не работает на этом сервере. При
> попытке подключения тонкого клиента - просто висит окно "Загрузка конфигурационной информации".
> И это точно надо настраивать на шлюзе с freebsd, т.к. клиент
> нормально запускается из дома, или при подключении юсб-свистка

Ну так можно включить логгирование файера и посмотреть куда ломится исхудавшая (тонкая) прога.. Есть tcpdump.. Далее на основании того, что выловилось - пишем правила в ipfw

> Ну так можно включить логгирование файера и посмотреть куда ломится исхудавшая (тонкая)
> прога.. Есть tcpdump.. Далее на основании того, что выловилось - пишем
> правила в ipfw

wireshark показал, что все общение велось по 80-му порту, который, разумеется, открыт(((

>> Ну так можно включить логгирование файера и посмотреть куда ломится исхудавшая (тонкая)
>> прога.. Есть tcpdump.. Далее на основании того, что выловилось - пишем
>> правила в ipfw
> wireshark показал, что все общение велось по 80-му порту, который, разумеется, открыт(((

Посмотрите на самой проксе tcpdump-ом что и куда от Вас шурует и что от удаленного сервера приходит к Вам.

PS Кстати у меня был какой то помнится клиент-банк, тож работал только по 80-ому порту. Так вот - через проксю работать ну ни как не хотел.

неверное заключение.
внимательно смотрим на список правил.
и вспоминаем, может ли работать https через прозрачный прокси

>> Ну так можно включить логгирование файера и посмотреть куда ломится исхудавшая (тонкая)
>> прога.. Есть tcpdump.. Далее на основании того, что выловилось - пишем
>> правила в ipfw
> wireshark показал, что все общение велось по 80-му порту, который, разумеется, открыт(((

дождался вечера, написал, что файер у нас - опен. из правил остались только
00050 divert 8668 ip4 from any to any via em0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
все равно не хочет подключаться((( а я только начал грешить на прокси
Если у кого-нибудь есть идеи - буду очень признателен

тогда давайте по пунктам
- дайте вывод ipfw show
- настройки вашего natd (из /etc/rc.conf скорее всего) и ps ax |grep natd
- ну и плюс что говорит tcpdump - пакеты с внешнего интерфейса уходят? или вообще не доходят до natd?

> Архив, в нем setup.exe ставим, подключаемся. В настройках подключения

inetcfg.xml смотрел?

>[оверквотинг удален]
>firewall_type="simple"
>firewall_script="/etc/ipfw.rules"

это откуда копипаст? почему у вас основное сообщение с оверквотингом?
но это так, к слову

но зачем так делаете? в смысле указываете и тип и скрипт файервола??
либо то, либо другое, но не оба вместе ))

а теперь пишете, что используете тип open, тоже не будет ничего работать
уже была похожая тема измусолена
оставьте скрипт, а строку с типом файервола закомментируйте и проверьте

Когда я ставил тип open я, конечно, закоментировал строчку со скриптом. соответственно в rc.conf было всего 2 строчки про файер
firewall_enable="YES"
firewall_type="open"
После ребута в файере были только такие правила
00050 divert 8668 ip4 from any to any via em0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
Теперь по нату
>natd_enable="YES"
>natd_flags="-interface em0 -f /etc/natd.conf"
>natd_interface="em0"

cat /etc/natd.conf
>unregistered_only
>same_ports
>use_sockets
>redirect_port tcp 192.168.24.100:3389 OUR_EXT_IP:3389

>[оверквотинг удален]
> 65535 deny ip from any to any
> Теперь по нату
>>natd_enable="YES"
>>natd_flags="-interface em0 -f /etc/natd.conf"
>>natd_interface="em0"
>  cat /etc/natd.conf
>>unregistered_only
>>same_ports
>>use_sockets
>>redirect_port tcp 192.168.24.100:3389 OUR_EXT_IP:3389

ключевая фраза
> клиент нормально запускается из дома, или при подключении юсб-свистка

но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!
попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и проверьте

> ключевая фраза
>> клиент нормально запускается из дома, или при подключении юсб-свистка
> но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!
> попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и
> проверьте

э... а дома то при чем? дома у человека нат провайдер настраивает :)

>> ключевая фраза
>>> клиент нормально запускается из дома, или при подключении юсб-свистка
>> но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!
>> попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и
>> проверьте
> э... а дома то при чем? дома у человека нат провайдер настраивает
> :)

ага, и проброс портов для 1с, причем каждому пользуну по его спец.запросу

>>> ключевая фраза
>>>> клиент нормально запускается из дома, или при подключении юсб-свистка
>>> но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!
>>> попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и
>>> проверьте
>> э... а дома то при чем? дома у человека нат провайдер настраивает
>> :)
> ага, и проброс портов для 1с, причем каждому пользуну по его спец.запросу

человеку надо из локалки наружу подключиться! при чем здесь проброс портов то? :)

>>>> ключевая фраза
>>>>> клиент нормально запускается из дома, или при подключении юсб-свистка
>>>> но вы же дома или в "юсб-свистке" проброс портов не настраиваете?!
>>>> попробуйте закомментировать строку с natd_flags="-interface em0 -f /etc/natd.conf" и
>>>> проверьте
>>> э... а дома то при чем? дома у человека нат провайдер настраивает
>>> :)
>> ага, и проброс портов для 1с, причем каждому пользуну по его спец.запросу
> человеку надо из локалки наружу подключиться! при чем здесь проброс портов то?
> :)

эту строку видим?
> redirect_port tcp 192.168.24.100:3389 OUR_EXT_IP:3389

хотя, это же вы удивлялись, что у вас там ман "директивы" OUR молчит

redirect_port это и есть "проброс" порта "наружу", в данном конкретном случае 3389

а про "причем здесь проброс портов" это вы у ТС спросите

а теперь еще раз - меня интересует вывод ipfw show - можно будет увидеть, какие правила у вас работают

и что это за деректива OUR? - а то ман молчит

попробуйте оставить голый нат - просто укажите интерфейс

>[оверквотинг удален]
> 65535 deny ip from any to any
> Теперь по нату
>>natd_enable="YES"
>>natd_flags="-interface em0 -f /etc/natd.conf"
>>natd_interface="em0"
>  cat /etc/natd.conf
>>unregistered_only
>>same_ports
>>use_sockets
>>redirect_port tcp 192.168.24.100:3389 OUR_EXT_IP:3389

> а теперь еще раз - меня интересует вывод ipfw show - можно
> будет увидеть, какие правила у вас работают
> и что это за деректива OUR? - а то ман молчит

это не директива, это сокрытый от любопытных глаз исходящий реальник зашифрованный в OUR_EXT_IP

> попробуйте оставить голый нат - просто укажите интерфейс

то же самое и я ему советую ))

>> и что это за деректива OUR? - а то ман молчит
> это не директива, это сокрытый от любопытных глаз исходящий реальник зашифрованный в
> OUR_EXT_IP
>> попробуйте оставить голый нат - просто укажите интерфейс
> то же самое и я ему советую ))

а, в этом смысле - просто человек приводит файл конфигурации - мало ли чего у него там вписано :)

на самом деле не требуется указывать внешний адрес

For example, the argument

                       tcp inside1:telnet 6666

means that incoming TCP packets destined for port 6666 on
this machine will be sent to the telnet port on the inside1
machine.

я так понимаю, что это попытка организовать доступ снаружи к виндовому серверу.

Это снова я. Закоментил строку про флаги ната
>grep nat /etc/rc.conf
>natd_enable="YES"
>#!natd_flags="-interface em0 -f /etc/natd.conf"
>natd_interface="em0"

вот вывод правил
192.168.24.3 - шлюз со множеством алиасов (20.3, 30.3)
на порту 3129 висит прокси oops без авторизации, прозрачный
на порту 3128 висит прокси squid с доменной авторизацией
192.168.24.137 мой комп, на котором запускаю 1с клиента (1-е правило я добавлял и удалял, безрезультатно)

ipfw list
00001 fwd 192.168.24.3,3129 tcp from 192.168.24.137 to any dst-port 80,8080 in via sis0
00100 deny tcp from table(1) to me dst-port 22 in recv em0
00200 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0
00250 fwd 192.168.20.3,3129 tcp from 192.168.20.0/24 to any dst-port 80,8080 via sis0
00260 fwd 192.168.20.3,3129 tcp from 192.168.1.0/24 to any dst-port 80,8080 via sis0
00300 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in via sis0
00400 deny tcp from 192.168.24.0/24 to any dst-port 80,8080
00500 divert 8668 ip4 from any to any via em0
00600 allow ip from any to any via lo0
00700 deny ip from any to 127.0.0.0/8
00800 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any

пока не запускается. При запуске клиента висит окно "Загрузка конфигурационной информации", пробовал в настройках клиента писать прокси - один, второй и без прокси(

ща буду биться головой об стену :) вы понимаете, что и зачем вы пишите?

так, давайте пройдемся по правилам, благо далеко ходить не придется
правило 00001 - любые пакеты с вашего компа (с которого вы запускаете клиента) на любой адрес по портй 80 - всё, условия выполнены - пакет от 1с под них попадает - а теперь смотрим правило для перенаправления пакетов в natd - оно идет под номером 400 - но ваш пакет уже покинул ipfw - и до нат'а его никто доставлять не будет

ps. в третий раз повторю (хотя и так уже не надо) - я просил вывод ipfw show - и даже пояснял, почему :)

>[оверквотинг удален]
> 00400 deny tcp from 192.168.24.0/24 to any dst-port 80,8080
> 00500 divert 8668 ip4 from any to any via em0
> 00600 allow ip from any to any via lo0
> 00700 deny ip from any to 127.0.0.0/8
> 00800 deny ip from 127.0.0.0/8 to any
> 65000 allow ip from any to any
> 65535 deny ip from any to any
> пока не запускается. При запуске клиента висит окно "Загрузка конфигурационной информации",
> пробовал в настройках клиента писать прокси - один, второй и без
> прокси(

> ща буду биться головой об стену :)

Не надо, пожалуйста. Потерпите меня еще немного
> я просил вывод ipfw show - и даже пояснял, почему :)

удалил 400-е правило

00100      0        0 deny tcp from table(1) to me dst-port 22 in recv em0
00200   2199   158654 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0
00250     58     5178 fwd 192.168.20.3,3129 tcp from 192.168.20.0/24 to any dst-port 80,8080 via sis0
00260      0        0 fwd 192.168.20.3,3129 tcp from 192.168.1.0/24 to any dst-port 80,8080 via sis0
00300    113    11185 fwd 192.168.30.3,3129 tcp from 192.168.30.0/24 to any dst-port 80,8080 in via sis0
00500  51175 31062685 divert 8668 ip4 from any to any via em0
00600    424    68008 allow ip from any to any via lo0
00700      0        0 deny ip from any to 127.0.0.0/8
00800      0        0 deny ip from 127.0.0.0/8 to any
65000 121728 74157699 allow ip from any to any
65535   4769   502281 deny ip from any to any

И оно заработало о_О
Вы уж меня простите, пожалуйста.
Спасибо всем, кто помогал.
Ещё раз простите за глупость

>> ща буду биться головой об стену :)
> Не надо, пожалуйста. Потерпите меня еще немного
>> я просил вывод ipfw show - и даже пояснял, почему :)

а вот это уже я опечатался - и хорошо :)
кстати, а из вашего набора правил теперь следует, что клиент 1с работает через прокси :) потому что до ната правило доходить не должно :) посмотри логи сквида - что-то мне кажется, что там будут соответствующие записи :)

первое тоже удалили?

>[оверквотинг удален]
>   0 deny ip from any to 127.0.0.0/8
> 00800      0      
>   0 deny ip from 127.0.0.0/8 to any
> 65000 121728 74157699 allow ip from any to any
> 65535   4769   502281 deny ip from any to
> any
> И оно заработало о_О
> Вы уж меня простите, пожалуйста.
> Спасибо всем, кто помогал.
> Ещё раз простите за глупость

> а вот это уже я опечатался - и хорошо :)
> кстати, а из вашего набора правил теперь следует, что клиент 1с работает
> через прокси :) потому что до ната правило доходить не должно
> :) посмотри логи сквида - что-то мне кажется, что там будут
> соответствующие записи :)

получается так
> первое тоже удалили?

да, удалил
1394709052.787     20 192.168.24.137 TCP_MISS/204 422 GET http://САЙТ_МОСКОВИИ.ru/1c_ut_of01//e1cib/userSettings? ITP+myDomainName NONE/- -

да, получается меня этим правилом
00200    7706    1110562 fwd 192.168.24.3,3128 tcp from 192.168.24.0/24 to any dst-port 80,8080 in via sis0
кидает на сквид. В тонком клиенте пришлось поставить айпи и порт прокси, а вот авторизацию он сам подтянул откуда-то
Еще раз огромное спасибо

> да, удалил
> 1394709052.787     20 192.168.24.137 TCP_MISS/204 422 GET http://САЙТ_МОСКОВИИ.ru/1c_ut_of01//e1cib/userSettings?
> ITP+myDomainName NONE/- -
> да, получается меня этим правилом
> 00200    7706    1110562 fwd 192.168.24.3,3128 tcp
> from 192.168.24.0/24 to any dst-port 80,8080 in via sis0
> кидает на сквид. В тонком клиенте пришлось поставить айпи и порт прокси,
> а вот авторизацию он сам подтянул откуда-то
> Еще раз огромное спасибо

отсюда можно сделать вывод, что клиент 1с не использует https ;)
и возможно, что использует для работы по http ядро internet explorer'a - тогда понятна и авторизация

ps. не люблю прозрачные прокси - поэтому не в курсе, как там организуется работа с авторизацией. так же как на непрозрачных или нет :)