Сайт, нестандартный порт и Kerio Control

Добрый день. Хочу рассказать об очень простой, на первый взгляд, проблеме, решение которой заняло у меня около получаса, несмотря на то, что я давно занимаюсь администрированием Kerio Control и хорошо знаю этот продукт.

Дано: сайт банка, доступ к которому осуществляется по нестандартному (TCP 5099) порту. И компьютер, на котором этот сайт не открывается.

image

У меня в сети для пользователей открыты только те порты, которые необходимо и когда я увидел проблему, сразу открыл консоль администрирования Kerio, чтобы добавить нужный порт в разрешающее правило. Но это уже было сделано (видимо, для этого же сайта еще раньше). Немного подумав, посмотрев логи трафика и попробовав открыть этот сайт с другого компьютера (успешно), я озадачился.

Не зная, что и думать, я создал новое временное правило, которое разрешало бы проблемному компьютеру полный доступ в интернет по всем портам и включил подробные логи на этом правиле, чтобы посмотреть, что происходит.



В журнале весело побежали строчки сетевой активности компьютера, однако сайт по-прежнему не открывался.
Начиная злиться на непонятную проблему, которая задержала меня на работе, начал внимательно просматривать все логи Kerio, в которых бы упоминался проблемный хост и увидел строчку, которая информировала меня о том, что на данном компьютере была обнаружены P2P соединения. В соответствии с настройкой, этому компьютеру были разрешены только не-P2P подключения:



Абсолютно безобидная опция, запрещающая торрент-клиенты, но обычно не мешающая работе пользователя, в данном случае сыграла со мной злую шутку.



Порт 5099 блокировался, несмотря на то, что не попадал в диапазон «подозрительных» портов; почему так произошло – не понятно.

После того, как причина была найдена, решение было простым – добавление в список сервисов Kerio еще одного,
работающего по порту 5099:



И добавление этого сервиса в список исключений P2P фильтра.

Желаю всем системным администраторам поменьше таких проблем, чтобы оставалось время на что-то действительно интересное. И послушных пользователей, не пытающихся использовать корпоративные компьютеры для развлечения.
  • +3
  • 33,1k
  • 5
Поделиться публикацией

Комментарии 5

    0
    У нас тоже часто такое бывало, только проблема была в другом.

    Инспектор протокола, который включен по умолчанию для всех правил блокировал коннекты на не стандартные порты (и еще на всякое, не знаю точно как он работает), хотя правила для них были явно прописаны. Даже авторизация на хабре не работает, если он включен. Никаких сообщений в лог от него не поступало.

    Так случалось не раз и не два, после чего он был выключен совсем и все сразу стало нормально.
      0
      Да, инспектор протокола часто блокирует трафик — и почта бывает не отправляется, пока на «почтовом» правиле не отключишь его и другие проблемы. Но в данном случае проблема была только на одном компьютере — и тестовое правило «разрешить все» я делал с отключенным ИП, просто забыл об этом написать (а скриншот делал потом, отдельно)
      0
      Как счас помню, 2006 (!) год.
      Kerio, порт имеенно 5099. Тоже не работал.
      Звонил в банк админами, попробовали другой порт, заработало…
        0
        Вообще от этих нестандартных портов одна головная боль…
          0
          Мне больше не нравится что это помоему какая-то «фича» Керио, или не документированная, может удалённое управление на нём, но тогда инфы не нашёл.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое