TheBarmaley
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору первая (и главная) ошибка - нарушение самой логики внешней/внутренней сети.. как следует из: Цитата: internal 192.168.0.199 external 192.168.2.250 ........ tcppm 3389 192.168.0.250 3389 | + принимая во внимание стандартную* маску для этого класса сеток как 255.255.255.0 И + учитывая, шо в строке задания портмапа НЕ указано иное (аргументы -i../-e.. у тебя в конфиге отсутствуют!), думаю, понятно, почему "оно не фурычит" - портмап на внутреннюю (!) машину из сегмента "0" пробрасывается через "внешнюю" (!) сеть сегмента "2".. т.е. портмап отправляет юзера наружу (!), вместо заворачивания на хост в своём же (!) сегменте сети.. всё понятно излагаю? * ну.. другую же ты пока не озвучил, сталыть, принимаем дефольное.. +) упреждая вопрос "а почему же в этом: Цитата: скачал отдельно tcppm.exe его запускаю tcppm.exe -d 3389 192.168.0.250 3389 - так все работает | ..случае оно работает?", отвечу - а потому как венда сама по себе "умная деффачка", понимает структуру своей сети и разруливает маршруты сетевых пакетов автоматически.. а вот в своём конфиге ты сам насильно (!) "заставляешь" её ходить по "неправильному пути".. и, соответссно, потому "оно и не жужжит".. на вопрос "как порулить" отвечу - есть несколько способов, зависящих от твоей конкретной задачи, т.ч. как тебе удобнее - решай сам.. главное - логику работы в своей конкретной ситуации правильно (!) представлять, а уж ключи i/e в портмапе задать или первые две строки в конфиге удалить или маршрутизацию в венде поднять/настроить - это уж ты сам думай.. и ещё один возможный* косяк.. исходя из ACL: Цитата: allow * 192.168.0.1,....,192.168.0.101,192.168.1.101 * ..... | сдаёццо мне, шо юзер 192.168.1.101 никогда не получит доступа к проксе.. и всё по той же причине - подсети разные.. т.е. если "интернал" слушает подсеть "0", то из подсети "1" до прокси не достучишься ни при каких* условиях..192.168.0.250 * ну.. можно сделать "хитровыеденную конструкцЫю" с маршрутизацией, но "прямое" обращения не пройдёт никогда.. =) далее.. сугубо имхо, но смешивание типов авторизации НЕ есть "бест практикс".. т.е. если уж в самой проксе авторизация по ип, то и в портмапе тоже надо бы сделать по ип.. если же для обоих указать "ноне", то тогда смело выкидывай свои аллоу-листы для прокси - они всё-рно при этом не работают.. -) теперь "по мелочам".. 0-я мелочь: по существу начальной проблемы с портмапом рдп - в целях, так скать, "обмена опытом" - поясни, какой смысл заворачивать клиентов из внутренней сети на внутренний же (!) хост (из той же подсети "0") именно через прокси? не проще ли каждому дать прямой доступ (по рдп) к машине 192.168.0.250 и исключить "лишние телодвижения"? варианты "зачем это может быть нужно" я знаю, интересует зачем/почему ты хочешь именно с помощью прокси решить стандартную (!) задачу раздачи доступа клиентов к серверу? 1-я мелочь: лимиты реально нужны? или это "от балды"? потому как глядя на: Цитата: nobandlimin * 192.168.0.2 nobandlimout * 192.168.0.2 bandlimin 10240000 * 192.168.0.250 bandlimout 10240000 * 192.168.0.250 | скажу, шо по дефольту (!) лимитов в проксе и так нет! (зачеркнул лишнее).. судить же по вторым ограничениям трудно - само число вызывает сильные сомнения - это >10Мбит/с для машины, к которой ты хочешь подключиться по рдп, как понял.. вот и скажи мне - нафига резать скорость по локалке??? могу, правда, предположить, шо у тя внешний канал в 1Мбит и просто "вкрался лишний нулик", не?.. но и при "ашыпке/очепятке" непонятно - смысл в лимите, если пров его ставит на внешний (!) канал, а портмапить ты собираешься по внутренней сети?? нащёт "некруглости" циферки - понимаю, "мне так хочется", но напомню - это число означает "бит/с" и если уж хочешь отдать канал "под пробку" - всё-рно надо надо его менять.. 2-я мелочь: зачем эта строка: Цитата:если ты уже задал ведение лога ДО авторизации (шо есть правильно)??.. имхо - лишнее, зачеркнул.. ну и ещё - не ошибка/косяк, но для полноты управляемости и "кошерности" конфига - задай конкретные порты для: Цитата: allow * 192.168.0.2 * * * allow * 192.168.0.43 * * * allow * 192.168.0.250 * * * | ну, как для всех остальных юзеров.. так будет лучше, потому как понятие "все" порты очень размазано и прокси при этом, к примеру, может ломиться на 20/21 порты фтп.. и хотя обломается по полной, но тупить будет "нипадеццки".. =) если уж так хочется - задавай порты для "избранных" отдельным списком в файле, но задавай правильно (!) и исходя из реальной доступности этих портов именно через хттп-прокси.. кроме того, для НЕстандартных хттп портов лучше задать отдельные портмапы либо спец.прокси - фтп/поп/смтп/... либо экспериментируй с запуском прокси с параметром ТСР (в аллоу), указывая его (принудительно!).. и напоследок - на всякий случай - надеюсь, строка с указанием порносайтов это именно одна строка, а не семь?.. + чисто для удобства я бы вынес запреты во внешний тхт-файл - конфиг намного читабельнее будет.. зы. сам править твой конфиг не стал, потому как так "неинтересно" - ну тебе ж всё-рно с проксёй работать, вот и тренируйся на кошках.. х)) |