Какие порты необходимо открыть в фаерволе, для того, чтобы разрешить эхо-запросы, короче, чтобы ping-и проходили и вход. и исход.

пинг не использует tcp/ip

ICMP Ping

(0) А раньше проходили? Или только что проксю подняли?

(0)ICMP, EchoRecuest, EchoAnswer...

(3)да, проходили, сейчас фаервол всё блокирует, открыты только те порты, кот. нужны. Разрешаешь всё-ping идёт, запрещаешь-не идёт

(5)а что за файерволл?

Какой фаервол ?

встроенный UserGate

Аааааааа ..... :) фаервол .... Ггггг

(8)чтобы пинги ходили нужно разрешить ICMP через NAT (не через прокси).

(10) а порт-любой?

(11)да... обычно есть подвид ICMP echo (ping)... не знаю, как точно в юге, не юзал....

(11) ICMP не использует порты. http://ru.wikipedia.org/wiki/ICMP

+(13) Это вообще другой уровень)

(14) ну вообще-то уровень это тот же....протокол другой...

(15) ping 3й уровень - TCP 4й
поэтому говорить про порты TCP относительно пинга бессмысленно

http://ru.wikipedia.org/wiki/

(0)
Никакие.
UserGate не пропускает ICMP трафик.

(17) И это не настраивается никак? Я так и знал, что Usergate - гуано...

(17) да всё он пропускает, я сейчас наковырял, создаешь правило в fw, указываешь протокол ICMP, IP-источника, IP-назначения и пошёл пинг. Вот только порты источника и назначения стоят все, если ставишь конкретные - пинга нет, значит всё-таки какие то порты используются.

(19) Это бред от создателей usergate. Не использует ICMP никаких портов, еще раз говорю. Просто в ICMP-пакете нету этого и всё.

(20) Почемубред? и почему гуано?
Если никакие эхи из твоей сети не вывалюваются в инет (а только с особо уполномоченных через nat вывернутых), и взаимообразно ничего внутрь сети не сыпется?... угу... в трусах ходить неудобно, не проветривается.

(21) бред - потому, что понятия "порт" в протоколе IP и, в работающем поверх него протоколе ICMP нет....

(21) одно к другому мало отношения имеет. инет скорее всего через ADSL-модем? вот и рубишь ICMP на модеме и внутрь сети ничего не "сыпется", если подключение иначе настроено - рубишь ВХОДЯЩИЕ ВНЕШНИЕ, а не внутренние. так что UG - тот еще фрукт, особенно если надо порты для пинга открывать... вообще нонсенс.
например в том же TrafficInspector (это не реклама :)) - внутри сети ходит все, а вот наружу открывать нужно порты - это нормальное поведение firewall.
вообще смысл таких прог в том, чтобы рубить внешние, не инициированные подключения извне, а не рубить все на свете, и тем более, включать только при открытии всех портов - хорош фаер, если для прохождения пинга нужно наружу открыть все порты. просто супер...

(20),(22) +1

указал на портах источник-0, назначение-0, ping идёт.

(25) да выкинь ты его ! UserGate не фаервол - это мааааленький такой шлюз типа прокси :).

(25) интересно теперь проверить, открыты ли порты, если да, то какие

(23) кстати, а зачем (и что самое интересное как) рубить ICMP на модеме ?

(26) +1
если прокся и фаер и биллинг надо в одном флаконе - ставил бы TrafficInspector (что и делаю, собсно) - гораздо юзабельнее, да и функционал имхо поинтереснее

(29) а он может между двумя машинами устанавливать VPN тунель ?

(27) как проверить? и вообще есть порт 0?

(29) у TI даже nat своего нет

(32) тогда юзай Kerio WinrouteFirewall - у него точно есть.

(28) в модемных настройках файервола можно обрубить входящие пинги, вот только он и исходящие тоже рубит.

kerio - лицензия дорогая

(35) еппп ... 1500 даже для провинции это недорого ...

(34) тут на днях дома с модемом ковырялся ... чет я там такого не видел ...

1500 - за kerio, где такие цены?

(37) какой модем?

(30) а средствами винды или там типа openvpn - не подходит? :)
ТИ - это прокси, фаер, биллинг, шейпер... ну т.е. назначение иное.
(32) а виндовый NAT не устраивает? зачем "свой" NAT? и вообще, какой это "свой"? либо заворачиваем весь трафик на прокси, либо нет, а NAT есть в винде, и, что характерно, он работает :)
(33) цена...
(28) да просто, там в настройках это обычно есть, а зачем... ну чтоб не пинговали :))

(36) скока? и, главное, в какой валюте?

(38) дааа ... меня дезинформировали ... 20000 многовато ....
(40) средствами "винды" или OpenVPN не подходит - их надо пинать чтобы установить соединение. Керио делает все сам.
"либо заворачиваем весь трафик на прокси, либо нет" что за бред ? чем NAT от Proxy отличается ?
В винде есть свой, как ты говоришь NAT, но только и его не всегда бывает достаточно ...

(42) я некорректно выразился, имелось ввиду, что NAT в RRAS (или ICS для несерверной винды) настраивать при наличии ТИ необязательно - основные сервисы работать будут и так. а так конечно - понятия родственные :)
P.S. а в каких случаях недостаточно "виндового NAT"?

(28) на 98й венде было так. начинают пинговать большими пакетами и все входящий трафик бешеный.

(43) кушать ходил ... :)
ну например: есть внешний интерфейс с реальным IP и на этот же интерфейс вешается еще один адрес типа 172.18.х.х. Т.о. организуется доступ в интернет и еще одну сеть (например закрытую между филлиалами). Вот такую конструкцию виндовый (не NAT, а маршрутизатор) разобрать не в состоянии.

(43) и кстати, NAT и Proxy как раз то понятия и не родственные. Transparent Proxy является частным случаем NAT. Но только частным слячаем - NAT умеет больше.

(46) сходи еще подчитай. кто там кому частный случай. особо удели внимание отличиям организации общего выхода в интернет при помощи poroxy-Сервера (в частности HTTP-прокси) и/или через nat (подмена обратного адреса на границе сетей) оноже "совместное использование соединения" в вынях. внимательно рассмотрев вопросы кеширования, контроля, фильтрации и ограничения траффика/контента, правил и разрешений итд и прочая.
кста почему-то о Socks никно и не вспомнил...(

ЗЫ "голый" NAT = жесточайшее наказание для админа.

(47) ты бы сам лучше почитал и хорошенько разобрался в технологиях, а не лез в дебри организации общего выхода в Интернет.
1. Кеширование себя практически не оправдывает (если конечно вся организация не ломится на одни и те же СТАТИЧЕСКИЕ страницы. При динамических (а их щас процентов 50) кеширование бесмысленно.
2. По сути своей прокси НЕ контролирует, НЕ фильтрует, НЕ ограничивает трафик и контент. Мы говорим о технологиях, а не о их реализации в программном обеспечении.

Да, и почему же это "голый" NAT - жесточайшее наказание ?

(49) когда будешь иметь сотню тупых юзерей в офисе, с неконтролируемым выходом в инет = поймешь.

(48) нуу, 50 процентов = уже не так уж и мало, а (с учетом того, что и 50-ти процентов таки (можбыть пока) и нету, а полный перечень "посещаемых" страниц, практически в любом офисе, это около сотни, не более = то смысл есть и прямой.

а речь о реализации и ведется, и ничего я не мешаю в одну тарелку, передергивать не нужно. Если ты хочешь поговорить о "технологиях" = пожалста, но это совсем другой вопрос, к сабжу отношения, практически, не имеющий. А реализация общего доступа === прикладной вопрос, а не теоретический.
Такшо сервер, и не "по сути", а в виде прикладной программыь и только сервер.