Kox Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вообщем народ у меня такая ситуация, внутренняя сеть (витая пара), и соотвецтвенно выделинка (тоже витая пара).... Мне надо что бы через меня выходили в инэт все мои чуваки из внутренней сети, я пользуюсь винРоутом, но не фига не знаю как настроить, хотя в принципе всё ясно, на компах внутри моей сети я прописываю шлюз (свой IP). А WinRoute должен из меня сделать типа сервака, вроде там только надо указать IP ДНС сервера моего провайдера....Тобишь мой шлюз... но нефига не работает.....Может поможете? Или посоветуете другую прогу?       WinRoute 4.x   Обратите внимание, настройка WinRoute 5.x вынесена отдельно (с 19.01.2004 г.) в тему   Настройка Kerio Winroute серии 5.x   Офф. сайт:   http://www.kerio.com/kwf_home.html http://www.kerio.com/wrp_home.html   Смотреть тут и тут.   Цитата:     Kerio WinRoute Firewall 5™ sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.   Kerio WinRoute Pro™ is a robust network firewall that protects your network from hackers and Internet threats. It easily connects the network to the Internet using various access devices. Built-in mailserver allows users to have their own corporate email.     !!!ВНИМАНИЕ!!! С 1 апреля 2004 года Kerio прекратила поддерживать версию 4.х См. на http://kerio.com/ Цитата: IMPORTANT NOTICE:   Kerio WinRoute Pro 4.2 has been discontinued as of March 31, 2004, technical support for the existing customers will cease one year later.   Анализировать логи можно с помощью: Программы для учета трафика Internet в Windows Биллинговая система WinRoute Spy WinRoute Log Analyzer   Также смотрите темы по Winroute:   MDaemon & winroute Почта в WinRoute Pro WinRoute and DNS Server и еще: Настроить DNS server win2k и WinRoute WinRoute Firewall & ICQ WinRoute Pro & e-mail: копировать входящую почту на юзера SMTP и WinRoute: как не сделать открытый релей Winroute в качестве баннерорезки     Другие полезные линки: Советы по общей настроке WR 4.x Подробный и понятный мануал на WinRoute   Господа!   Если вам есть, что добавить полезное в первый пост - милости просим давить линк "Редактировать"   (для пользователей со статусом не ниже member). Всего записей: 66 | Зарегистр. 14-02-2002 | Отправлено: 11:57 25-06-2002 | Исправлено: exMIB, 20:32 23-11-2004

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox А нельзя таким образом что на одной машине прописываешь: proxy: 3128,   а на другой proxy: 80.   И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому. Или это глупость? Всего записей: 3325 | Зарегистр. 27-09-2001 | Отправлено: 19:31 17-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору exMIB Цитата: одной машине прописываешь Как понять на 1-й машине!? А потом на другой!? Ты же сказал, что у тебя 2 сетевухи на серваке смотрят в инет, а одна в локалку, разве нет!? Цитата: И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому. Или это глупость? Увы, при вышеописанной мной схеме - это глупость, тк ОС манипулирует роутингом на уровне адрессов, а не портов, те шлюз получив пакет из локалки знает адресс источника и адресс назначения - а далее согласно таблице роутинга рутит пакеты либо во внешнюю сеть на 1-н из 2-х сетевых адрессов внешней карты, либо обратно в локалку - это и задаёт, как я уже сказал, таблица роутинга.... Хотя может и существует какое спецПО, которое может автоматом рутить пакеты в зависимости от порта (хотя и в этом случае его придётся настраивать анологичным образом)... не знаю, не втсречал.... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 20:18 17-05-2004

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Я, извиняюсь, что неправильно выразился.   На сервере стоит модем и две сетевухи. Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку. Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке. Как это организовать? Выход через модем и WinRoute давно нормально работает. У клиентов в IE стоит IP прокси и порт 3128. Как теперь это дело разделить на модем и выделенку? Всего записей: 3325 | Зарегистр. 27-09-2001 | Отправлено: 23:38 17-05-2004 | Исправлено: exMIB, 23:39 17-05-2004

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pallot А действительно есть необходимость "обрезки" юзеров по IP? Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских  паролей Ведь все проблемы не решить только запретами на бумаги, а например юзер отдал свой пасс приятелю и тот насидел нормально а ты ему сразу отчетик - вот гасподин хороший нече было пассы раздавать И еще не могу точно объяснить, но на  машинку с WR я не стал поднимать DNS и DHCP....   P.S. Хотел спросить теперь уже у народа - на счет того, что я сканил свой WR из инета на наличие уязвимостей и есть несколько открытых UDP портов Насколько серьезно что они открыты? Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 07:51 18-05-2004

Pallot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox   Цитата: А ты их все написал!? Проще картинками сюда запостить.... помоему сюда картинки не постяться, запрещено куда можно из сбросить?   vworld   Цитата: А действительно есть необходимость "обрезки" юзеров по IP?   Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских  паролей     Но ведь все должно работать, и по IP должно резать права. Но вот почему то нелятае. Вот это обстоятельство напрягает очень сильно.   Так что с правами? Может кто опишет правила? Группе можно, всем остальным нет.   Добавлено Да, забыл версию сказать - WR 4.2.5 RUS Всего записей: 113 | Зарегистр. 13-05-2004 | Отправлено: 08:27 18-05-2004

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pallot Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные... 1) создать группы адресов различные (192.168.0.1-192.168.0.10) например и т.д. 2) в фильтре пакетов дать правило (я пишу на внешнем интервейсе) в исодящих - отправитель Группа -> адресант Любой   P.S. кстати при помощи заранее оговоренных групп, можно "давать" народу в сети хождения на определенные IP только, т.е. разделение Инета на внутренний и внешний....у меня опять же не реализовано в силу малого потребления инета... Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 10:52 18-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору exMIB Цитата: На сервере стоит модем и две сетевухи. Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку. Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке. Как это организовать? Ясно. Тут 2 вопроса, один из которых не в этот топик. 1. Как я уже говорил, надо настроить роутинг на уровне ОС, чтоб она знала, с каких адресов куда (на внеш.сетевуху или модем) рутить пакеты.... winrout тут не причём, а соответственно и этот топик.... в нём ты только  файервольные правила пропишешь, чтобы ограничить/защитить эти соеденения.... 2. Это как было сказано расписать правила на этих 2-х интерфейсах для ограничения доступа этим группам куда не надо, для защиты и т.д. - думаю это не составит труда... Естественно, что адреса предпочтительно иметь статические.... etc vworld Цитата: И еще не могу точно объяснить, но на  машинку с WR я не стал поднимать DNS и DHCP....   хм... а почему так!? защита-безопасность!? Pallot Цитата: помоему сюда картинки не постяться, запрещено куда можно из сбросить? правила почитай и "скрипты" форума Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:30 18-05-2004

ZUMR Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: хм... а почему так!? защита-безопасность!?   Попробую ответить за vworld (у нас с ним почти однотипные задачи). Я всегда исхожу из вопроса: Для чего это необходимо. Для задач, которые выполняют мои юзеры в ЛВС с выходом в Инет это особо и не нужно. Вот и всё.   Цитата: правила почитай и "скрипты" форума   Я считаю, что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай", а "Фул мембер" и админ, постоянщик этого топика. Коллеги, давайте уважать друг друга. Всего записей: 1835 | Зарегистр. 23-04-2003 | Отправлено: 13:02 18-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZUMR Цитата: ЛВС с выходом в Инет это особо и не нужно. Вот и всё.   я у меня это есть и нужно... DHCp и DNS работают - поэтому мне интересно, почему так ... Цитата: что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай" ты видно с утра ещё не проснулся! я это Pallot говорил, посмотри внимательно.... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:09 18-05-2004

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZUMR Мы с тобой уже с полуслова друг друга понимаем - сорри за офф Действительно я изхожу из рациональности и необходимости, и стараюсь "мутить" на на уровне софта и железа, а проще например с инетом решить вопрос,  у кого из юзеров действительно есть необходимость в инете, это уже пререготива начальства.... Про DNS и DHCP - нужно смотреть построение сети - например мой случай, число машин у меня растет и приближается к 100 - DHCP в этом случае ИМХО есть Гуд, НО....например уже сложнее авторизировать по IP сделать конечно можно...DNS отправляю все исходящие запросы на DNS прова... Просто я не вижу необходимости эти службы поднимать именно на WR, но у меня все поднято на внутреннем сервере   P.S. Я не устаю повторять, что ИМХО возникла необходимость рассмотрения вопросов в форуме безопасности при юзанье WR, точнее защита от проникновения и т.п.   Добавлено greenfox Цитата: у меня это есть и нужно...  DHCp и DNS работают - поэтому мне интересно, почему так ...   Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места. Я задался и понял, что мне в итоге не надо запускать их. И еще дело в том, что я не особо люблю юзать 100 программ одновременно, в случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 13:24 18-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места.   Видно я вас не с полуслова понимаю.... Я таким вопросам не задаюсь, я знаю что это нужно ибо работате это уже давно и нормально... спросил я потому, что ты сказал   Цитата: И еще не могу точно объяснить, но на  машинку с WR я не стал поднимать DNS и DHCP....   вот я и спросил почему!? но ты сам ответил Цитата: случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел   у тебя просто ситуация видать другая... вопрос снят...   Кстати, насчёт надёжности winrout-а - сам недавно сканировал, выдал только один пунк типа winrout пропускает tcp пакеты с установленым флагом каким-то... кстати было бы тоже интересно почитать про его надёжность... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:04 18-05-2004

ZUMR Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: я это Pallot говорил Сорри... Всего записей: 1835 | Зарегистр. 23-04-2003 | Отправлено: 14:46 18-05-2004

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Цитата: Кстати, насчёт надёжности winrout-а - сам недавно сканировал,   Чем сканировал? Брось в ПМ мне свой IP - я тебя тогда по старой дружбе могу по самое немогу просканить, я например свой просканил и .....несколько UDP и еще замечание по FTP, у меня правда нет этого сервиса, но чем черт не шутит Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 15:54 18-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: Чем сканировал? Nessus вот одно предупреждение на роут повесило... Security Warning The remote host does not discard TCP SYN packets which have the FIN flag set. Depending on the kind of firewall you are using, a attacker may use this flaw to bypass its rules. See also : http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html         http://www.kb.cert.org/vuls/id/464113 Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487 почитал ссылки  - интересно, насколько это реально воплотить в жизнь... Цитата: несколько UDP а номера какие!? Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:20 18-05-2004 | Исправлено: greenfox, 16:24 18-05-2004

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox А порт-маппинг в моем случае из WR не поможет? Всего записей: 3325 | Зарегистр. 27-09-2001 | Отправлено: 18:09 18-05-2004

Pallot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные...   вот  и я не видел проблем пока не было необходимости. А сейчас вопрос стоит ребром... а правило не работает. Если всех запретить работает а, если одного разрешаешь то все лезут. Так получилось или нет??? Всего записей: 113 | Зарегистр. 13-05-2004 | Отправлено: 08:30 19-05-2004

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pallot Извини, но у меня в сеткенет особого места для эксперементов, так что ты уж самостоятельно у себя пробуй... 1)зайди Настройки\Дополнительно\Группы адресов - сделай там необходимые группы какие сочтешь нужными 2) в фильтре пакетов уже правила настравитаь просто выбирать Группу адресов, а там уже , те которые вводил загодя... пиши если что... Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 11:07 19-05-2004

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору exMIB Цитата: А порт-маппинг в моем случае из WR не поможет думаю, что нет.... routing нужен... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:06 19-05-2004 | Исправлено: greenfox, 17:09 19-05-2004

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору greenfox Тогда как или каким софтом? Очень нужно это сделать. Может не через разные порты, а как-нибудь ещё. Всего записей: 3325 | Зарегистр. 27-09-2001 | Отправлено: 18:28 19-05-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка WinRoute 4.x

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование