You appear to have a firewall or router that is blocking you что делать

Обновлено: 07.07.2024

Вообщем на ночь перечитал информацию по GRE.

Оказывается на некоторых рутерах надо пофиксить VPN или PPTP, припоминаю такое и на моих Dlink, те что раньше стояли, там тоже есть пас фру PPTP IPsec, на цисках это fixup, но он на PIX.

Вообщем путем долгих измышлений пришел к выводу что вариантов решения проблемы два, либо провайдер ищет у себя засаду (это врятли он будет делать) или как вариант я начальнику поставил FireWall McAfee, может конечно и он это блокирует. Но вот последнее я думаю не катит т.к. 2.11.2005 в 10-44 был успешный коннект.

Что думаете гуру? Можно ли вообще как то отследить кто блокирует трафик? Network Monitor не предлагать, не будет его начальник пользовать. Думаю может еще раз позвонить, узнать включена ли у них функция "PPTP Pass Through" or "VPN Pass Through"

С уважением
Шумыч

Засада однозначно в GRE но ноги могут расти из:

1. Фильтра у греков.
2. Фильтра где-то по дороге от греков до тебя.
3. NATа где-то в п. 1 или 2.

Есть брутальный варинант, проверенно рабочий - openvpn. Но это развлечение не для слабонервных.

греки ваще ребята темноваты похоже судя по разным статейкам.

хотя, блин, сволочи, глюк в windows server, который с 1995 года до сих пор тянется - починили. а мы починки этого глюка для русской локали добиться так и не можем :((((((((

gre - протокол уровня tcp, ip - обычно везде по умолчанию отключен.

может шефу машинку через ms rdp открыть в инет? пусть на нее заходит и делает что-нибудь.

Смысл VPN в том что он получает доступ в локалку и все ресурсы с этим связанные, например Outlook может синхронизироваться с Exchange, откроется банк-клиент и он сможет подписать счета, файл-сервер тоже доступен. Основное это конечно почта. Ее можно получить и через OWA, но куча писем написаны уже.

Я тоже больше склоняюсь, что это провайдер, т.к. во первых в Москве все работает тьфу*3 раза, во вторых он нормальное соединился утром 2го числа находясь в Киеве из офиса или аэропорта не важно, а по приезду в Грецию не смог.

Ладно, я им всем (контакты кого нашел) написал письмо, на помощь не надеюсь, но хоть совесть не мучает, я со своей стороны сделал все что мог и даже больше.

у греков не разрешен GRE протокол с вероятностью 99%. на рутере, файрволе или еще хрен знает где, а может, в нескольких местах сразу.

Брандмауэр Windows 10 отключен, но все еще блокирует программы

Брандмауэр Защитника Windows в Win 10 отслеживает сетевой трафик и блокирует недопустимые программы, подключающиеся к Интернету. Таким образом, некоторым пользователям может понадобиться иногда отключать брандмауэр Windows; или, по крайней мере, настройте параметры брандмауэра для включения определенных программ через него. Тем не менее, некоторые пользователи говорят, что брандмауэр Windows 10 отключен, но все еще блокирует программы.

Как остановить брандмауэр от блокировки программ в Windows 10?

1. Отключите брандмауэр через окно повышенной безопасности.

  1. Чтобы гарантировать, что брандмауэр Защитника Windows отключен для всех сетевых профилей, попробуйте вместо этого отключить его с помощью функции повышенной безопасности. Откройте окно поиска Win 10 с помощью клавиши Windows + S.
  2. Затем введите ключевое слово «повышенная безопасность» в поле «Введите здесь для поиска».
  3. Нажмите Брандмауэр Защитника Windows в режиме повышенной безопасности, чтобы открыть окно, показанное ниже.
  4. Это окно может показывать некоторым пользователям, что брандмауэр Защитника Windows по-прежнему включен для одного сетевого профиля. Нажмите Свойства брандмауэра Защитника Windows, чтобы открыть окно, показанное ниже.
  5. Затем выберите « Выкл.» В раскрывающихся меню состояния брандмауэра для вкладок «Общий», «Частный» и «Профиль домена».
  6. Выберите опцию Применить, чтобы применить настройки.
  7. Затем нажмите OK, чтобы выйти из окна.

2. Отрегулируйте настройку типа запуска сетевого расположения.

  1. Если для параметра «Тип запуска сети» задано значение « Автоматически» (отложенный запуск), это может привести к исправлению отключенного брандмауэра, по-прежнему блокирующего программы для пользователей бизнес-сети. Для этого нажмите клавишу Windows + комбинацию клавиш X.
  2. Выберите Run, чтобы запустить этот аксессуар.
  3. Введите «services.msc» в «Выполнить» и нажмите « ОК», чтобы открыть окно в кадре прямо ниже.
  4. Дважды щелкните Информация о местоположении в сети, чтобы открыть окно свойств для этой службы.
  5. Выберите Автоматически (отложенный запуск) в раскрывающемся меню Тип запуска.
  6. Нажмите « Применить» и « ОК» . Это позволит службе NLA иметь больше времени для правильной аутентификации домена, чтобы он не ошибочно идентифицировал его как общедоступную сеть с включенным по умолчанию брандмауэром.

3. Отключите сторонние антивирусные утилиты

  1. Пользователям, использующим стороннее антивирусное программное обеспечение, может потребоваться отключить брандмауэры этих утилит, которые могут блокировать программы. Чтобы отключить стороннюю антивирусную утилиту, щелкните правой кнопкой мыши значок в системном трее, чтобы выбрать отключить или отключить параметр контекстного меню.
  2. Кроме того, пользователи могут очистить загрузочную Win 10, чтобы убедиться, что никакие сторонние антивирусные утилиты или другие программы, которые могут иметь брандмауэры, не запускаются с Windows. Для этого введите «msconfig» в «Выполнить» и нажмите « ОК» .
  3. Нажмите Выборочный запуск на вкладке Общие и снимите флажок Загрузить элементы запуска .
  4. Установите флажки Использовать исходную загрузочную конфигурацию и Загрузить системные службы .
  5. Перейдите на вкладку «Службы» и выберите « Скрыть все службы Microsoft» .
  6. Выберите опцию Отключить все, чтобы удалить лишние сторонние сервисы из автозагрузки системы.
  7. Нажмите Применить и ОК .
  8. Затем нажмите кнопку « Перезагрузить» в появившемся диалоговом окне.

Итак, в большинстве случаев такие проблемы происходят «благодаря» межсетевому экрану, который осуществляет фильтрацию сетевых пакетов по определенным настройкам и правилам. Этот межсетевой экран (он же «брандмауэр» и firewall) является компонентом защиты операционной системы семейства Windows, а также различных роутеров, и некоторых антивирусных программ, которые защищают ваш ПК от «опасностей» из сети.

Зачастую блокировка подключения брандмауэром или антивирусной программой происходит вследствие неправильной настройки и эксплуатации оборудования или встроенного ПО. Иными словами, программа, созданная для защиты и удобства пользователя при работе в сети, превращается в «карманного монстра», который только мешает нормальному сетевому соединению.

И наиболее простым решением данной проблемы станет отключение возможных межсетевых экранов.

Отключение межсетевого экрана Windows

На всех основных версиях Windows отключение брандмауэра осуществляется практически одинаково.

  1. А) Необходимо зайти в Панель управления.
  2. Б) Далее кликнуть по иконке «Брандмауэр Windows». (Если режим представления элементов установлен «По категориям» сперва нужно выбрать категорию «Система и безопасность»)
  1. В) В разделе «Брандмауэр Windows» появится окно с различными настройками фаерволла.
  1. Г) Найдите настройку Отключение\Включение Брандмауэра Windows.

сетевой трафик ограничивается брандмауэром

невозможно соединиться сетевой трафик ограничивается брандмауэром

Более подробно об отключении системного фаерволла рассказано в статьях как отключить брандмауэр на windows 7 и отключение брандмауэра windows 10

Также рекомендуется отключить системную службу брандмауэра.

торрент сетевой трафик ограничивается брандмауэром

Однако самое простое решение не всегда является правильным, и вместо отключения межсетевого экрана лучше добавить нужные программы в исключения фаерволла, оставив при этом компьютер под надежной защитой.

Отключение компонента «Сетевой экран» в антивирусной программе.

Помимо системного фаерволла нужно корректно настроить и установленный на компьютере антивирус, чтобы подключение к сети не блокировалось антивирусным ПО.

Читайте еще: Как контролировать трафик интернета в локальной сети?

Ранее мы подробно рассказывали о настройке касперского для локальной сети, здесь же остановимся на основных общих этапах.

Так, у большинства антивирусного ПО в настройках присутствует вкладка, отвечающая за работу сетевого экрана: здесь достаточно поставить или снять соответствующую галочку.

На примере антивирусного ПО Kaspersky данная настройка располагается во вкладке «Защита».


Сетевой трафик ограничивается маршрутизатором: что делать?

Большинство современных маршрутизаторов также снабжено встроенным сетевым экраном (Firewall), который может блокировать сетевой трафик (ограничивать подключение к некоторым ресурсам).

Настройка Firewall на роутере зависит от его производителя и модели. Важно правильно ознакомиться с web-интерфейсом вашего роутера. Найти вкладку с настройками и отключить межсетевой экран.

В заключение стоит упомянуть, что существует множество программных продуктов, которые имеют свои сетевые и межсетевые экраны (а так же Firewall с разным функционалом и настройками) такие как «АП Континент».

Такие программы весьма специфические и узкоспециализированные, и шанс «наткнуться» на них в сети интернет невелик, поэтому главной защитой пользователя от всевозможных сетевых ограничений и блокировок является предусмотрительность и внимательность самого пользователя.

Существует несколько мер, которые можно принять, если запросы, которые должны пройти через брандмауэр веб-приложения (WAF), блокируются.

Сначала ознакомьтесь с документами, в которых содержатся общие сведения о WAF и описание конфигурации WAF. Кроме того, включите мониторинг WAF. В этих статьях объясняется, как работают функции и наборы правил WAF, а также, как получить доступ к журналам WAF.

Стандартные наборы правил OWASP являются очень строгими, и их необходимо настраивать в соответствии с конкретными потребностями приложения или организации, использующей WAF. Совершенно нормальным (и в большинстве случаев ожидаемым) явлением является настройка исключений из правил, создание настраиваемых правил и даже отключение тех правил, которые могут приводить к проблемам и ложноположительным результатам. Политики для конкретного сайта и URI позволяют применять такие изменения только к определенным сайтам или URI, поэтому они не должны затрагивать другие сайты, где соответствующих проблем нет.

Основные сведения о журналах WAF

Журналы WAF предназначены для отображения всех запросов, пропущенных или заблокированных WAF. Это реестр всех проверенных запросов, которые были пропущены или заблокированы. Если вы заметили, что WAF блокирует запрос, который не должен блокироваться (ложноположительный результат), можно выполнить несколько действий. Сначала ограничьте область и найдите конкретный запрос. Просмотрите журналы, чтобы найти конкретный URI, метку времени или идентификатор транзакции для запроса. После того, как связанные записи журнала будут найдены, можно начинать обработку ложноположительных результатов.

Предположим, что у вас есть допустимый трафик, содержащий строку 1=1, который вы хотите передать через WAF. При попытке выполнить запрос WAF блокирует трафик, содержащий строку 1=1 в любом параметре или поле. Это строка часто связана с атакой путем внедрения кода SQL. Можно просмотреть журналы и определить метку времени запроса и правила, которые обусловили блокировку или пропуск трафика.

В следующем примере можно увидеть, как во время одного запроса активируются четыре правила (с помощью поля транзакции). Первое правило срабатывает, так как в запросе использовался числовой или IP-адрес URL, что увеличивает показатель аномалии на три, поскольку соответствует уровню предупреждения. Следующее сработавшее правило — 942130 (его нужно было найти). В поле details.data можно увидеть 1=1. Это увеличивает показатель аномалии еще на три, поскольку также соответствует уровню предупреждения. Вообще каждое правило с действием Соответствие (т. е. сработавшее правило) увеличивает показатель аномалии, и на этом этапе данный показатель был бы равен шести. Дополнительные сведения см. в статье Режим оценки аномалий.

Последние две записи журнала показывают, что запрос был заблокирован, так как показатель аномалии оказался достаточно высоким. Эти записи имеют другое, отличное от первых других действие. Для них указано, что они фактически блокировали запрос. Эти правила являются обязательными не могут быть отключены. Их следует рассматривать не как правила, а скорее как элементы базовой внутренней инфраструктуры WAF.

Борьба с ложноположительными результатами

Имея эту информацию и зная, что именно правило 942130 соответствует строке 1=1, мы можем выполнить несколько действий, чтобы предотвратить блокирование нашего трафика:

использовать список исключений;

Дополнительные сведения о списках исключений см. в статье о конфигурации WAF.

Использование списка исключений

Чтобы принять обоснованное решение об обработке ложноположительного результата, важно ознакомиться с технологиями, которые использует приложение. Предположим, что в вашем стеке технологий нет SQL Server, и вы получаете ложноположительные результаты, связанные с этими правилами. Отключение этих правил не всегда приводит к ослаблению безопасности.

Одним из преимуществ списка исключений является отключение только определенной части запроса. Однако это означает, что определенное исключение применяется ко всему трафику, проходящему через WAF, так как этот параметр является глобальным. Например, если 1=1 является допустимым текстом в запросе для определенного приложения, но не для других приложений, могут возникнуть проблемы. Еще одним преимуществом является возможность выбора между телом, заголовками и файлами cookie, которые следует исключать при выполнении определенного условия, вместо исключения всего запроса.

Бывают случаи, когда определенные параметры передаются в WAF способом, который не является интуитивно понятным. Например, при проверке подлинности с помощью Azure Active Directory передается маркер. Этот маркер, __RequestVerificationToken, как правило, передается в качестве файла cookie запроса. Однако в некоторых случаях, когда файлы cookie отключены, этот маркер также передается в качестве атрибута запроса ("аргумента"). В этом случае необходимо убедиться, что __RequestVerificationToken добавляется в список исключений вместе с именем атрибута запроса.

Исключения

В этом примере необходимо исключить имя атрибута запроса, которое равно text1. Это очевидно, поскольку имя атрибута можно увидеть в журналах брандмауэра: данные: сопоставленные данные: 1=1, найдено в ARGS:text1: 1=1. Мы видим атрибут text1. Кроме того, имя этого атрибута можно найти несколькими другими способами. Они приведены в разделе Поиск имен атрибутов запроса.

Списки исключений WAF

Отключение правил

Еще один способ обойти ложноположительный результат — отключить правило, сработавшее на входных данных, которые WAF посчитал вредоносными. Так как вы проанализировали журналы WAF и выяснили, что сработало правило 942130, вы можете отключить его на портале Azure. См. статью Настройка правил брандмауэра веб-приложения на портале Azure.

Одним из преимуществ отключения правила является возможность отключить его для всего WAF, если известно, что весь трафик, содержащий определенное условие, которое обычно блокируется, является допустимым. Однако если такой трафик является допустимым лишь в определенном сценарии, отключение соответствующего правило для всего WAF приведет к уязвимости, так как этот параметр является глобальным.

Правила WAF

Поиск имен атрибутов запроса

С помощью средства Fiddler можно проверить отдельные запросы и определить, какие именно поля веб-страницы вызываются. Это позволяет исключить определенные поля из области проверки с помощью списков исключений.

В этом примере можно увидеть, что поле, в котором была введена строка 1=1, называется text1.

Снимок экрана: веб-отладчик Progress Telerik Fiddler. На вкладке Raw (Необработанные данные) фрагмент 1=1 отображается после имени text1.

Это поле можно исключить. Чтобы узнать больше о списках исключений, ознакомьтесь со статьей Предельный размер запросов брандмауэра веб-приложения и списки исключений. В этом случае вы можете исключить оценку, настроив приведенные ниже исключения.

Исключение WAF

Вы можете также просмотреть журналы брандмауэра, чтобы понять, что нужно добавить в список исключений. Сведения о том, как включить ведение журнала, см. в статье о работоспособности серверной части, журналах ресурсов и метриках для шлюза приложений.

Просмотрите журнал брандмауэра в файле PT1H.json за час, в течение которого был отправлен запрос, который требуется проверить.

В этом примере можно увидеть четыре правила с одинаковым идентификатором транзакции, которые сработали в одно и то же время:

Зная, как работают наборы правил CRS, и что набор правил CRS 3.0 работает с системой оценки аномалий (см. статью Брандмауэр веб-приложений для шлюза приложений Azure), вы понимаете, что два нижних правила со свойством action: Blocked блокируют трафик на основе общей оценки аномалий. Правила, на которые следует обратить внимание, являются двумя верхними.

Первая запись заносится в журнал, так как пользователь перешел к шлюзу приложений по числовому IP-адресу, что в данном случае можно игнорировать.

Второе правило (942130) является более интересным. В подробностях можно увидеть, что это правило выявило шаблон (1=1) в поле text1. Повторите выполненные ранее действия, чтобы исключить имя атрибута запроса, которое равно 1=1.

Поиск имен заголовков запросов

Fiddler — это удобный инструмент для поиска имен заголовков запросов. На следующем снимке экрана показаны заголовки запроса GET, которые содержат такие сведения, как тип содержимого, агент пользователя и т. д.

Снимок экрана: веб-отладчик Progress Telerik Fiddler. На вкладке Raw (Необработанные данные) указаны такие сведения, как соединение, тип содержимого и агент пользователя.

F12 в Chrome

Поиск имен файлов cookie запроса

Если запрос содержит файлы cookie, можно выбрать вкладку Файлы cookie, чтобы просмотреть их в Fiddler.

Ограничение глобальных параметров для исключения ложноположительных результатов

Отключение проверки текста запроса

Если для параметра Проверять текст запроса установить значение "Выкл.", текст запросов всего трафика не будет оцениваться вашим WAF. Это может быть полезно, если известно, что текст запросов не является вредоносным для приложения.

Если отключить этот параметр, проверка не будет применятся только к тексту запросов. Заголовки и файлы cookie по-прежнему проверяются, если только отдельные объекты не исключены с помощью списков исключений.

Ограничения размера файла

Ограничив размер файла в WAF, вы ограничиваете возможность атаки на веб-серверы. Когда разрешена загрузка больших файлов, риск перегрузки серверной части увеличивается. Ограничение размера файла значением, типовым для сценария использования вашего приложения, — один из способов предотвращения атак.

Если вы уверены, что приложение никогда не потребует передачи файлов размер которых превышает заданный, вы можете ограничить этот размер, установив лимит.

Метрики брандмауэра (только WAF_v1)

Для брандмауэров веб-приложений версии v1 на портале теперь доступны следующие метрики:

  1. Счетчик заблокированных запросов брандмауэром веб-приложения — количество запросов, которые были заблокированы.
  2. Счетчик заблокированных правил брандмауэром веб-приложения — количество правил, которые сработали и запрос был заблокирован.
  3. Общее распределение правил брандмауэра веб-приложений — все правила, сработавшие во время проверки.

Чтобы включить метрики, выберите на портале вкладку Метрики, а затем — одну из трех метрик.

Читайте также: