» UserGate (все версии)

einstein123

тесты по скорости на сервере идут через внешнюю сетевую плату, поэтому показывают реальную скорость. И при чём тут снова 127.... -й адрес ?! Читайте хоть последние страницы темы, не говоря уж о всех и мануале по ЮГ. Даже на предыдущей странице решалась задача пуска сервера через ЮГ.

ikar2006
Ок, как появится свободная минутка, учту твое пожелание

Ответьте пожалуйста на конкретно поставленый вопрос. Может ли ЮГ ограничивать скорость. Прочитав всю тему натокнулся на массу вопросов по этому поводу(ограничение скорости). В качаестве решения предлагалось в настройках групп также ограничить скорость. Но у меня почему-то эта опция(ограничение скорости в группах) оказалась недоступной.
Если можно ограничить, то как это сделать.
Скажу сразу у меня реально не ограничивает скорость. Я поставил ограничение 4 килобита и реально без никаких тестов было видно что страницы в браузере(предварительно настроеном для работы через ЮГ) грузились быстрее.

Да ограничивает нормально через проксю через нат походу нет.

Добавлено:
Laryx
ПУсти проксю провайдера через каскад п порту 8080
все отальное через нат через 80порт.
и пусть выбирают на здоровье , особенно удобно в опре нажатием одной кнопки оключается прокся.У меня так и сидят все

VladMinin
Заранее спасибо. Буду подождать

einstein123


Цитата:

Статистика показывает что нользователь local использует трафик. но я поставил ограничение в скорости в 4 килобита

Странно... У меня никаких с этим проблем нет... Хоть на сервере, хоть у клиентов - сколько поставил скорость, столько и выдает. Минимальная у меня - 0,1 кбсек, максимальная - 5 кбсек... При введении ограничения скорость устанавливается четко.

Проверь, ты правильно назначил время действия правила (третья кнопка на панели определения правила) - если хочешь, чтобы правило действовало всегда - надо, чтобы все поле стало синим...


Добавлено:
Да, и еще - у меня во всех программах на сервере стоит адрес 168.192.0.1 - это, может быть и не влияет (127 адрес - тоже вроде правильный)


Цитата:

kep1

Цитата:

ПУсти проксю провайдера через каскад п порту 8080
все отальное через нат через 80порт.

Спасибо, попробую.

сразу прошу не отправлять меня в инфу и фак, потому как там я уже побывал? прошу коротко и по делу ответить. единственное, не смог осилить79 страниц текста в поиске.
люди, хэлп, вопрос по ограничению юзверей по UG 4.17(тот же 4.0):
1. как зарезать определенным юзерам доступ к аське к примеру?
то, что я делал для этого:
1. создал группу для этих опущенцев и выставил, что порты 5190, 1080(если они по соксу захотят) закрыты. результат- залазят только в путь;
2. залез в правила и создал, что такие-то айпишники как исходящие, закрываются в доступе, если пытаются стукнутся к login.icq.com. результат тот же.
3. взял, запретил порты 80, 8080. аллилуя аськи нет, но, как я и предполагал, и инета нет тоже.
4. в нате убрал эти порты, та же лажа.
итак возвращаемся к вопросу:
1. как все-таки обрубить аську этим нехорошим людям?
2. почему не сработали первые 2 варианта? а то я юзал и wingate и winrote, там почему то правила работали. и то, в винроте там вообще по нату рубишь народ и все. по идее если я обрубаю порты, по ним ничего и не пойдет. у аськи порты стандартные: 443, 5190. порты через которые к ним идти: 80,8080,1080. или я что-то не догоняю, либо просто что-то не так делаю или настраиваю в ug.
3. как правила применить к группе, что-то я этого не нашел.
p.s. аська- это чисто в пример мне нужно, все остальное сделаю по этому примеру.

rezets
Я создал у себя правило например Запрет ICQ
Тип логики ИЛИ
Фильтры *login.icq.com*, т.е. как написано в HELP и у меня все работает т.е. шишь им всем ICQ.
Можешь добавить в фильтр *icq.com* и вообще на сайт ICQ не выйдешь.
У меня по аналогии фильтрами забанены выходы на порно и секс сайты всех конечно не забанишь но все же. На сайте usergate.ru взять фильтры на банеры и ххх файлы.


Добавлено:
Да забыл потом это правило применить к конкретным пользователям. Я у себя применил это правило не ко всем. Т.к. аськой пользуется директор да и сам тоже.

ikar2006
извини, пробую, не выходит. давай по очереди:
создаем правило:
1. тип - или;
2. объект-соединение;
3. действие- закрыть;
4. протоколы - какие протоколы выставить? если ставлю http и socks, тогда инет рубится, а если только socks, то аську можно и по http пустить;
5. фильтры- слева айпишник компа, который надо отрубить(выставляем его исходящим)
справа имя сервера- login.icq.com.
если все так, то какие протоколы закрыть в 4 пункте?

rezets

Цитата:

тогда инет рубится,

инет не рубится, если ты делаешь, как написали:
Цитата:

Фильтры *login.icq.com*, т.е. как написано в HELP и у меня все работает т.е. шишь им всем ICQ.
Можешь добавить в фильтр *icq.com*

Рубится только то, что в фильтре.

А в целом, всё верно.
Протоколы можешь указать хоть все.
В фильтрах IP не обязательно.
Открываешь группу и выставляешь там правила, так и будет, что именно этим челам действует правило.

rezets
Первые три пункта именно так.
Я в протоколох выбираю все.
Пукт 5 (фильтры) заполняю только Список URL-адресов внизу над кнопкой "назад" выбрать "имя сервера".
У меня все Ок

Отцы!
Подскажите, пожалуйста, как посчитать трафик на шлюзе.
Стоит Usergate 2.8.0.43. Мануал читал, версию для печати тоже постарался проштудировать.
Создавал аккаунт с IP-шником 127.0.0.1, прописывал прокси в настройках интернет-соединения, список локальных серверов пустой. Учет не ведется, причем в списке аккаунтов все синие, а этот (local)-черный. Где копать и возможно-ли вообще на этой версии вести учет локального трафика
Удачи

ikar2006
Lopster
спасибо, парни, теперь принцип понял. все заработало.
но на два вопроса мне так никто и не ответил:
почему не работают эти варианты:

Цитата:

1. создал группу для этих опущенцев и выставил, что порты 5190, 1080(если они по соксу захотят) закрыты. результат- залазят только в путь;

Хотелось бы узнатьЕсть 35 компов,есть ЮС 2,8. Есть ограничение скорости закачки и вообще всей скорости.Но,есть ещё диапазон ип-адресов для которых хорошо бы было бы, чтобы ЮС не резал скорость и вообще на трафик не смотрел.Игнорировал бы. Такое возможно сделать?Если в версии 2,8 нельзя, то в какой можна?

Halfmoon
Для учета трафика на шлюзе Usergate версии 2.8.0.43.
Я создал соотвествующий аккаунт но с IP адресом сетевой карты смотрящей в локальную сеть например 192.168.0.1 ну и все проги которые с шлюза должны ходить в Инет проставлял именно адрес 192.168.0.1. У меня все считало. На если чесно говоря иногда разница в трафике с провайдером доходила процентов до 20% и в причинах разобраться не смог. С 4-й версие пока максимум было 5%. Переходи на 4.1.

rezets
Не понял фразы результат- залазят только в путь.
Чесно говоря через группу не пробовал и порты закрывать тоже. Сам использую 1080 для Skype. Я создаю правила и для всех их не принимаю. Ну а затем каждому раздаю те или иные. Коньюнктура в офисе меняется мне проще отменять или назначать правила каждому отдельному пользователю.

В сою очередь у меня вопросик к знатокам.

Необходимо переустановить систему на компутере шлюзе.
Возникает вопрос можно ли перенесте настройки Usergate 4.1.0.1746 в новую систему.
Если да то какие файлы нужно сохранить и как правильно это сделать. Уж больно не хочется все снова прописывать да и времени жалко.

rezets

я так понял, что этот вопрос относился к ограничению для группы, которым запрещена аська. Про это уже подсказали. Всё в фильтрах и только там.

Halfmoon


в 2.8 так не сделаешь. Нужно ставить стороннюю программу, Тметер например, и создавать там одно единственное правило.

artem1982


Создай группу и применяй к ним разные правила. Или каждому избранному отдельно. 2.8 самая нормальная версия, пока тебе не понадобится НАТ. Так что сиди на ней до последнего

Добавлено:
ikar2006

config.cfg из папки с программой. И, если нужно, log.mdb.

ikar2006
с правилами все ясно, ты мне лучше объясни как здесь народу порты тогда перекрывать, если в группах это не действует. если обжно доходчиво, типа: залезаешь туда то, выставляешь такие-то парты там то, ставишь галочку тут и радуйся жизни. зарание низкий поклон от сиски.

Чесно говоря никогда порты для клиентов ЮГ не перекрывал. С помощью Outposta закрывал порты от внешних атак. Один раз дозакрывался, что вообще в Инет выйти не смог. Если не пользуещся сторонними Firewall то попробуй использовать встроенный в ЮГ. Насколько я понимаю порты можно закрывать только через Firewall. Встроенным в ЮГ Firewall не пользовался поэтому помочь особенно не могу. Но принцип у всех стенок одинаковый указывается протокол TCP или UDP и номер порта.

ikar2006
спасибо за совет, попробую

Что-то я туплю неподеццки.

Уже несколько дней пытаюсь заставить ходить експлорер через НАТ. И не могу настроить (4 версия ЮГ).

Как настроить, чтобы IE у пользователя ходит в инет через НАТ ? Насколько я понял, надо в НАТе правило для 80 порта сделать ? А "прозрачный прокси" - какие там порты надо ставить ?

Laryx

правильно, правило на 80-й порт, ДНС в настройках прокси в ЮГ, и автомат в настройках IE клиента. Ничего нет проще.

Товарисчи, вопрос жизни и смерти!
Как, юспользуя usergate 4.0, настроить получение и отправку почты у клиентских машин с помощью обычного outlook express? В настройках юзергейта включен нат на поп и смтп протоколы, пользователям разрешение на эти порты даны. проверил все сто раз. на клиентских машинах в сетевом соединении указан адрес шлюза (машина с юзергейтом). в настройках аутлука я выставил только настройки допустим yandex`a. работает прокси на хттп, фтп и сокс, инет пашет, аськи, хренаськи, а вот почта не хочет. прошу коротко объяснить проблему. в винроте такого я не припомню.
и кто мне объяснит это:
/*
Пример. Существует почтовый ящик test@mail.ru. Прокси-сервер UserGate установлен на машине с адресом 192.168.0.1, тогда в почтовом клиенте нужно будет указать:
POP сервер:    192.168.0.1    
Логин:    test@pop.mail.ru    
Пароль:    пароль к почтовому ящику.
*/
хотя тоже не работает

Lopster

Да нет, что-то у меня "не вытанцовывается".

Если прописать в IE проксю - все прекрасно работает. А напрямую - ни в какую.

На клиенте в свойствах соединения основной шлюз пишу 192,168,0,1 - адрес сервера.
ДНС - тоже сервер. На сервере включен форвардинг ДНС.

Правила НАТ для почты, для Аськи, для ВебМаней - нормально работают.

И пока в свойствах IE указано "работать через прокси" (адрес прокси - сервер) - все работает.

Создаю правило НАТ, приемник - 192,168,0,1, отправитель - подключение к провайдеру.
Порт - 80, протокол TCP. Применяю это правило к юзеру. Убираю у юзера проксю, ставлю галку "автоматические параметры" - и все. Клиент - ничего не слышит, в странице статистики UG соединения не появляется. Хотя при этом по-прежнему висит соединение ICQ (то есть, сам НАТ работает).

Что я упустил ?

И ткните меня носом, где написано, что такое "прозрачный прокси" в применении к UG, когда его включать, и какие порты там надо ставить.

rezets

прошу коротко объяснить проблему

Видимо, у тебя не установлен форвардинг ДНС. По крайней мере, у меня были все похожие симптомы, и решилось именно форвардингом.


тогда в почтовом клиенте нужно будет указать

Нет, когда настроен НАТ и ДНС - в почтовом клиенте пишешь все, как предлагается в инструкции.

Laryx

Цитата:

И ткните меня носом, где написано, что такое "прозрачный прокси"

первый раз я это увидел тут:
Laryx

Цитата:

А "прозрачный прокси" - какие там порты надо ставить ?

Сам-то где это взял ?
Не знаю, что и сказать, всё верно делаешь. Может с IE проблема ? Попробуй мазилу. И ещё, у меня есть одно замечательное правило в НАТ, где порты с 1 по 65535 указаны Безотказно пашет при любый проблемах.
rezets

Цитата:

тогда в почтовом клиенте нужно будет указать

Нет, когда настроен НАТ и ДНС - в почтовом клиенте пишешь все, как предлагается в инструкции.

в инструкции к почтовому ящику.

Lopster


Цитата:

первый раз я это увидел тут:

ЮГ -> Сетевые правила -> Последняя (четвертая) закладка = "Прозрачный прокси".


Цитата:

Может с IE проблема ? Попробуй мазилу

Брал Оперу. То же самое.


Цитата:

есть одно замечательное правило в НАТ, где порты с 1 по 65535 указаны

О ! Сейчас попробуем...



Добавлено:
Хм... Какая-то мистика...

Написал правило НАТ для всех подряд портов. Пробую - нифига. Не соединяется, и все тут тебе.

Ну, думаю, вероятно, у меня что-то на компе не так, пора систему переставить. Открываю другой комп, убираю в нем проксю, запускаю - упс... В статистике ЮГ появилось правило ! И с того компьютера пошло через НАТ. Проставил там проксю - пошло через проксю. Убрал - пошло через НАТ !

Ну, ясно, думаю, у меня проблемы с системой, переставлю. Открываю свой експлорер, выхожу в инет... Бац ! На странице "статистика" у моего компа заработало правило НАТ ! Я-то забыл у себя проксю вписать, осталось напрямую... И оно - работает ! Но ТОЛЬКО ЧТО НЕ РАБОТАЛО !

Беру правило НАТ, убираю все порты, кроме 80 - пробую... Все работает !!! И - со всех компов...

Что случилось, не могу понять !

Беру Оперу. Запускаю с прокси - все работает отлично. Убираю проксю - не работает !

Выхожу на другой компьютер - там Опера работает и так, и сяк. Возвращаюсь "к себе" - Опера заработала !!!

МИСТИКА !!!

Теперь - все работает. Так, как я хотел. Пишешь проксю - работаем через каскадный прокси провайдера. Убираем проксю - работаем без провайдерского прокси.
Ну и винду, конечно, пора переставить... Уже давно просится...

Еще раз всем спасибо. Вам, Lopster - персональное мерси.

Вот бы теперь еще узнать, что такое "прозрачный прокся"...

Добавлено:
Laryx
Lopster
позвольте еще раз описать проблему:
пров -adsl-модем; дает около 50 апишников(10.0.0.2-51), но т.к. народу море, оставил 1 себе (10.0.0.27, а остальных кинул за прокси), шлюз 10.0.0.1 и данные dns-серверов(любезно предоставленные провом) и в этот комп кинул сетевуху, смотрящую в локалку(192.168.0.1). поставил на нее ug, включил. у народа все пошло. другое дело, не могу разобраться с натом и почтой в частности. если я мапю порты (110 и 25 на 8110 и 8025), то почта принимается, но не отправляется(говорит: сервер сообщает, что он не готов, ответ:""). а если делать по нату, где эти права разрешены для всех юзерей почта ни туда ни обратно не идет. у меня нат поставлен как (смотрящий в локалку 192.168.0.1), а выходной 10.0.0.27. все настройки выставил, как в примере. если все правильно, объясните мне в чем прикол?
2 вопрос по dns-форвардингу: я не могу добавить второй dns-сервер в список, просто не ставятся ";" и ",". это что за глюк? сейчас стоит только один.
и в добавочку третий вопрос(хотя мне кажется это из той же степи):
если я в нате убираю все правила для юзерей, они продолжают лазить в инет, но если ставлю ограничения по правилам, то у них инет блочится(инет в смысле, выход на сайты, почта, мессенджеры и т.д. все, на что ставлю правила). на сколько я помню, если в нате убрать например icq или pop c smtp, то никакой почты и аськи не будет. а здесь тогда nat зачем нужен, непонятно. меня терзают сомнения, что либо надо как-то каскад поставить либо неправильно настроен нат. подскажите пожалуйста, желательно доходчиво отдельно по 3-м пунктам. заранее спасибо. жду. генеральный уже задолбал.

Похоже, нельзя в ДНС форвардинге ставить два адреса. У меня пров тоже дал два ДНСа, но я в форвардинге оставил один.

Попробуй оставить один ДНС.

А НАТ (как я понял) - он нужен для того, чтобы не прописывать в программах проксю. Все программы тогда соединяются по дефолтовому гейту, там их ловит НАТ, и редиректит на провайдера.

с dns-форвардингом вопрос отпал, на счет natа я принцип его работы знаю, но непонятно, почему он не работает, вот и жду совета по его настройке, что я зделал не так. и наконец самый сволочной вопрос по почте, кто-нить знает как это сделать?

Laryx

у меня в ДНС-форвард прописано аж три адреса. И всё зашибись пашет. Да, нашёл прозрачнуюю проксю Но это лишь кнопка, а функционала никакого, нет параметров.

rezets

больше нечего подсказывать. Можно только повторяться.