pilotro
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TankMan
Ох, ну ты и наспрашивал. Ну давай попробуем разобратся.
Первое, что бы я тебе посоветовал, (кстати думаю это самый мудрый совет) это сесть почитать хелп. Нет я не хочу сказать что ты глупости спрашиваешь, очень даже не глупости, просто работа админа, это не работа дворника. Если пойдешь работать дальше, то там надо 90% придумывать, варьировать, фантазировать. На очень много вещей не найдешь описания типа вот тут включи вот тут подкрути. А для того что бы делать все виртуозно нужно сесть и почитать стандартные вещи. Я когда то начинал с изучения модели OSI, хотя до этого тоже хотел нахрапом взять почтовые сервера, шлюзы, домены.
Теперь давай попробуем придумать что нибудь.
для начала хочу сказать что winroute в смысле биллинга
Цитата:| при превышении определенной квоты - блокировать? |
очень слабенькая система. Блокировать трафик он умеет только только по дневной, недельной, и месячной квоте в объеме (Mb, Gb). Ни о каких деньгах, и тем паче тарифных планах, и т.д. не может быть и речи. Зато под такие вещи заточены российские шлюзы (usergate, Traffic Inspector) просто в америке интернет не считают, надеюсь что и у нас скоро перестанут платить спекулянтам. Так что зайди на их сайты и поинтересуйся там своими вопросами, может winroute не твоя система. Заодно посмотри основных конкурентов, wingate и isa.
Цитата:| можно было вести статистику по каждому компьютеру (по IP или Мак) без видимой авторизации для пользователя |
все дело в том что вся маршрутизация в мире основана на tcp/ip протоколе, будь то cisco winroute или персональный фаер, а вот авторизация (шейпинг, билинг) это надстройки, требующие для своей работы приложения неких усилий. Поэтому статистика изначально ведется по ip адресам и, как правило, по tcp портам. Тебя смущает что этого не показывает сам winroute? Посмотри другие обработчики логов
Цитата:
Цитата:| А подскажите пожалуйста, как в одноранговой сети, организовать авторизацию по IP или же жесткую привязку логина винроута к IP. |
Авторизация по ip или mak это фикция, миф для админов, такое возможно только при условии жесткого контроля клиентских компов, когда не просто не разрешаешь менять ip но даже не разрешаешь устанавливать дополнительное ПО (комп. клубы со всеми их дырявыми защитами  , мелкие организации где начинающий админ дорвался до власти). Но естественно такую авторизацию можно организовать (точнее видимость такой авторизации), можно через dhcp привязывать к МАК определенный ip, по моему с помощью Tmeter можно даже навернуть билинг по ip и\или MAK. Есть готовые решения на основе тех же usergate или Traffic Inspector. С MAK winroute не работает никак. Считается слишко низкий уровень для маршрутизации, да и меняется он тоже, я по моему видел проги которые это делают легко и непринужденно, без железного вмешательства. Понимаю твое разочарование и недовольство, сам когда то таким был, и мне тоже все хотелось сделать быстро и легко, но со временем многие незыблемые вещи, которые казались аксиомами в работе, становятся динамичными и шаткими, и меняется точка зрения на все, особенно если эти вещи стоят у самых основ системного администрирования.
Далее. Понятие авторизации в современном компьютерном мире на 99,9 % это передача связки имя и пароль (всякие биометрические навороты не в счет, слишком все еще сыро, оставшийся 0,01% это так называемые умные карты, так работают например банкоматы, есть устройства для ПК). Собственно исходя из этого, простые ответы на столь сложные вопросы.
Цитата:| но мне почему-то удалось этим пользователем залогинится и на любом другом компьютере - как это можно запретить? |
а ты пароль пользователя не давай другому человеку (который работает за другим компьютером) и логинится будет только тот кто знает связку имя - пароль.
Цитата:| Сегодня пробовал - создал пользователя, в его настройках (сейчас не помню как именно называется), на последней вкладке указал IP адрес компьютера на котором он находится (пользователь) |
это называется automatic login. Название несколько не верное, точнее это безпарольный логин (чистейший бред, я это использую только для серверов, т.е. для учета ничейного трафика), на том ip который ты туда вставишь пользователь будет логинится автоматически без процеса авторизации, а при наличии у этого пользователя никому не известного пароля, залогинится ты сможешь только с определенного ip. Но опять же, это фикция, я поменяю ip и зайду под другим пользователем.
Цитата:| и еще почему-то любой пользователь может зайти в статистику и смотреть ее полностью как это запретить? |
у этого пользователя убрать галку Rights (3 закладка) -> User is allowed to view statistics
зная твои дальнейшие вопросы напишу еще пару аксиом, до которых я кстати тоже с трудом доходил. Подход неудобный, надо заставлять пользователей запоминать пароли, востанавливать по просьбе, неудобный процесс авторизации, если подгадать время выключения компьютера и в этот момент поставить себе его ip, то пользоватся интернетом можно будет за чужие деньги, при желании можно закамуфлироватся так, что комар носа не подточит. Да все это так, поэтому и придумали некоторые механизмы которые икореняют, все эти проблеммы.
1. Это ведение единой базы пользователей.
2. Это шифрование канала.
1 Подходит организации, в которой ты отвечаешь за работоспособность всех машин, самый класический пример это Active Directory, изучай, очень удобная штука, снимает массу вопросов, особенно при наличии большого кол. компов (<10, а если 40 и более то без домена просто не обойтись), в частности можно реализовать на winroute автоматический логин. Каждый пользователь при запуске машины вводит имя пользователя и пароль без которых он не сможет попасть ни на один корпоративный сервис, а при запуске броузера запускается скрипт автоматической авторизации. Для пользователя все очень прозрачно.
2 подходит для домашних сетей. Один из популярных вариантов VPN сервер. У winroute есть встроенный, можно использовать любой другой включая стандартный мелкософтовый. В конечном итоге, у пользователя есть програмка, он ее запускает туда вводит свои любимые имя пароль и нажимает пуск (есть птичка сохранить, тогда нужно просто запустить програмку, ярлык которой в свою очередь можно вставить в автозагрузку) програмка сворачивается (как правило) в трей, все - интернет доступен. Не работает програмка - интернет не доступен. Все просто, ну а за сохранностью своего пароля каждый следит сам. VPN клиент есть стандартный в XP, это если ты скажешь что пользователям нужно устанавливать прогу. При таком раскладе никакой супер пупер хакер не сможет сидеть в интернете за чужие деньги (если конечно из за плеча не подсмотрит пароль )
Цитата:| Да в том то и дело что странно - даже если, допустим, у меня сервер зовется "хоме-90" я заходя в винроут-веб - вижу путь http://home-90:хххххх и захожу. Когда я ставлю в этом параметре те же - "home-90" - я опять же в винроут-вебе вижу путь http://home-90:хххххх - но уже не заходит |
брр че то ты меня запутал. Мм как это сформулировать.
Что случилось после первого предложения
Цитата:| Да в том то и дело что странно - даже если, допустим, у меня сервер зовется "хоме-90" я заходя в винроут-веб - вижу путь http://home-90:хххххх и захожу. |
что бы те же действия не получились во втором
Цитата:| Когда я ставлю в этом параметре те же - "home-90" - я опять же в винроут-вебе вижу путь http://home-90:хххххх - но уже не заходит |
Хоть убей, эти два предложения описывают одно и то же, только результат разный.
О как. Че то я совсем расписался сегодня. Теперь понимаю почему на ветке программы всегда менее оживленно чем в варезнике, вот так попишешь да и перестанешь заглядывать сюда, даже чего нибудь спросить Так что еще раз повторюсь читай литературу, хелпы, и фантазируй, твори. На каждый вопрос добрых дядек не найдешь.
Кстати несколько постов выше я спрашивал вопрос если кому интересно то могу расказать решение. Надо трафик самого шлюза завернуть на отдельное правило, и убрать у него проверку Protocol Inspector. Тогда авторизации спрашивать не будет |
. Как только отключаю движек керио - все работает. 
