Kerio Winroute Firewall настройка на шлюзе в инет

[alww]

На серваке два интерфейса , классика : один в локалку , второй в инет

На интернет-интерфейсе firewall работает на ура , трафик блокирует.

Проблема с трафиком на локальном интерфейсе: firewall не блокирует трафик , хотя должен по правилу по умолчанию
Делаю скан по портам - пишет кучу открытых портов

Сначала подумал , что kerio по каким то причинам просто вообще не анализирует трафик на интерфейсе , смотрящем в локалку.
Но если делать порт скан - то kerio пишет в alert "внимание , сканирование портов по интерфейсу" , при этом если поставить логирование на правило блокировки - пусто , ничего не блокируется.

Ладно , идем дальше : делаю отдельное правило , запрещающее например доступ на dns на локальном интерфейсе, проверяю сканированием портов - действительно 53 порт исчез. Вроде все заблокировалось , правило работает.

Однако , если вместо DNS в это же правило вписать ну скажем 25 порт - никакого эффекта , порт скан показывает 25 порт - открыт.
То же самое соответсвенно и в случае если создать отдельное запрещающее правило на доступ из локалки на все порты шлюза и поместить его самым первым - все равно трафик не блокирует .

Пробовал переустановку - не помогло.

С порядком правил тоже ничего не мог намудрить : пробовал вообще удалять все правила кроме двух

1. firewall - firewall - any - permit
2. правило по умолчанию (any - any - any - drop)

т.е. открыть трафик только на интерфейсе localhost , все осталные запросы извне дропать - все равно трафик на интерфейсе в локалку не блокируется

Что это может быть ? Кто нибудь встречал такое?

PS. Около трех месяцев на этом серваке kerio работал отлично. Проблема появилась после того , как понадобилось снять образ винта на сервере. Образ снимал прогой Acronis и сливал по сети. Для слива в доверенную сеть использовал сетевуху , которая смотрит в инет.
Последовательность действий была такая: поменял IP на сетевом интерфейсе смотрящим в инет , переключил его в другой свич в доверенную локалку, отключил kerio , слил образ, поменял IP на первоначальный , включил kerio , подключил комп в Инет. Все . После этого перестал блокироватся трафик.