» Настройка WinRoute 4.x

ZUMR

Цитата:

выложить то, что у тебя есть по WR и дать линк

Цитата:

Так это я всё на форумах уже прочитал

Он впринципе прав. Это просто сборник нескольких хелпов и статей и топиков с форума... вот только как это смог понят человек, который разницу между стат и динам ip не особо понимает!?
Могу на мыло скинуть, а там сам посмотришь...


Цитата:

только как банерорезку для всех локалок

ааа... то есть как второй файер его никто не использует... просто из-за доп возможностей...

Цитата:

куча маленьких сеток

нет... ну тут онятно... я имел ввиду вариан, когда оба эти файера на одну тачку ставят...
Просто я терпеть не могу файеры, у которых механизм ограничения трафика неясен (не прозрачен) - ну типа нажал кнопку и всё.... а потом думай что и почему... заэто и полюбил роут... поэтому и не понимаю зачем ставить к роуту ещё один файер, такой как ОР.... насколько я понял просто из-за доп возможностей.... сам то я проксомитрон и black ice использую в связке с рутом...

Цитата:

Я за чистоту русского языка и компьютерного жаргона

не будь таким категоричным... времена такие... такая у нас компьютерная братия...

Цитата:

Но насколько я понял, то в выпуске KWF 5.х попытались это совместить

да уж... по сравнению с 4-й версией роута - это просто лажа непрофессиональная... тупые правила, не отражающие сетевой стек протокола, хреновая справка... как они тольк туды большу красную кнопку не добавили, типа открыть/закрыть!?

А куда кстати Sercam делся - у него там что "дежавю" в его матрице!?

Добавлено
ZUMR

Цитата:

К тому же (некоторые знают) я военный офицер

хех... коллега!

greenfox

Цитата:

Могу на мыло скинуть

Я же сказал, что не могу выкладывать. Скинь NordWest, он может. Линк в шапке будет, а там разберемся.

Цитата:

насколько я понял просто из-за доп возможностей....

Конечно.

Цитата:

не будь таким категоричным... времена такие... такая у нас компьютерная братия...

Смотря что писать и как. Я только из-за этого. Во флейме пойдет, а в сис.админе, считаю, что он перегнул. На всякий случай зайди сюда: http://glossword.info/list/2/index.xhtml

Цитата:

куда кстати Sercam делся

Может пока сетку настраивает. Я же ему посоветовал настроить и сразу к нам. Организуем помощь.

Цитата:

хех... коллега!

Да уж, так получилось. Уже полковник, думаю увольняться.... и на гражданку.

Цитата:

А куда кстати Sercam делся - у него там что "дежавю" в его матрице!?

Да нет, дежавю никакого. Просто начальство срочно просило проверить работоспособность одной проги с SQLServer'ом в нашей сети, приходится бросать менее важные дела.
Я конечно понимаю что сложно помогать на расстоянии, но зачем же сразу говорить что у меня сеть не правильно настроена и я о статических адресах представления не имею.
После того как Вы в один голос сказали что вся проблема в статич./динамич. ip - я думал что всё щас сделаю. Попробовал поставил на паре машин не как было автоматом, а назначил статические адреса. Дальше в WinRoute как и ранее запрет на данный ip для данного ip адреса сайта. Но эффект тот-же.
Так что я во временном забытии и отчаянии.

Sercam

Цитата:

правильно настроена и я о статических адресах представления не имею.

no personal!

Цитата:

Но эффект тот-же

ЧУДЕС НЕ БЫВАЕТ!!!!

Короче так, говоришь что запрет на все адресса работает!? Ещё раз зайди в роут, на вкладке исходящие пропиши в самом первом правиле - ИМЕННО ПЕРВОМ (это на самом верху:
Протокол "IP"
Адресс "ВСЕ" -> Адресс "ip сайта"
Действие "Запретить"

Теперь посмотри. Если у всех пропал доступ к этому сайту - гуд, значит роут стоит там где надо и работатет. Теперь иди на какую-н. машину и посмотриеё ip, это делается через свойства сетевого окружения - свойства подключение по лок сети - свойства протокол tcp\ip - там должен стоять ip адресс, а не галка "получать ip автоматически"!!!! Записывай этот ip и топай снова в роут. Изменяем самое верхнее правило для исходящих, которое мы сначало прописывали для всех:
Протокол "IP"
Адресс "IP только что посмотренной машины" -> Адресс "ip сайта"
Действие "Запретить"

Теперь дуй на эту машину и смотри - есть доступ к этому сайту!? по идее - нет! но если есть, то:
1. попробуй посмотреть на другом сайте, например яндексе или мылору
2. отключи проксик роутовский: для этого надо снять галку "Включить прокси" на одноимённой вкладке.
3. Посмотри, правильно ли ты определил сетевые интерфейсы!!!

Теперь, после каждого пункта - смотри на доступ к сайту с той тачки, на которой ip смотрел! Отпишешь по каждому пункту! И помни - чудес не бывает!!!

greenfox Чудес ясен красен быть не может...
- Для "Любого адреса" работает (как впрочем и ранее) как на машинах со стат. ip так и на тех, где получается автоматически.
- Далее экспериментирую с одной машиной со стат. адресом.
Адрес проверил по ipconfig/all и с другого компа по ping Имя_Компа_в_сети - ответ был с его ip адреса.
- Прописал теперь вместо "Любого" только "этому адресу" пару сайтов (Rambler.ru и Delit.net). Машина зашла спокойно на оба сайта (спросив есестно имя и пароль пользователя).
- Снял в WinRoute галочку "Включить прокси-сервер" в "Настройках прокси-сервера". Тогда с машины не заходит в инете вообще никуда (но это вроде и естественно если снять галочку, или я не прав?).
- Сетевые интерфейсы определил точно правильно. У меня на локалку стоит Гигабитная карточка, так что спутать трудно; тем более что я с горя уже пробовал "вешать" два одинаковых запрета на каждую из карточек (интерфейсов).

Какие выводы из вышесказанного?

Sercam

Цитата:

как на машинах со стат. ip так и на тех, где получается автоматически

для всех так и будет - на то они и все, не зависимо от Ip

Цитата:

Снял в WinRoute галочку "Включить прокси-сервер" в "Настройках прокси-сервера". Тогда с машины не заходит в инете вообще никуда (но это вроде и естественно если снять галочку, или я не прав?).

НЕТ, не естественно... просто в браузере, у тебя это ослик наверно, надо в настройках подключ по лок сети, убрать галку "использовать прокси". Так что попробуй убрать прокси на роуте, прописать для 1-й машины правило, потом измени настройки IE (убрав там прокси) и попробуй выйти в инет на те сайты, что запретил и на те, что нет. Надеюсь у тебя в роуте правила не прописаны, запрещ выход в инет напрямую (в обход роута)!?
И вообще, оставь для чистоты эксперемента в роуте только 1-но правило на исход интерфейсе, которое описывалось выше!

в WinRoute у меня кроме того которое пытаюсь сделать вообще никаких правил больше нет. Так что все вопросы по поводу взаимодействия других правил и перемещения правил вверх-вниз можно пока опустить.
- Насчёт обхода WinRoute правила пока нет, оно по умолчанию не ставится случайно? Скажи где глянуть и как оно должно быть прописано - я гляну.
- Снял галки и в Роуте и в IE на экспериментируемом компе. Не выходит вообще никуда.

Sercam

Цитата:

Снял галки и в Роуте и в IE на экспериментируемом компе. Не выходит вообще никуда.

А шлюз то у тебя правильно прописан!?
Если тоже самое сделать на др компе, который ты не запрещаешь, тоже никуда не выходит!?

Цитата:

оно по умолчанию не ставится случайно?

нет... это правило надо ручками прописывать!?

Цитата:

А шлюз то у тебя правильно прописан!?

- IE-свойства обозревателя-Настройка LAN-использовать прокси-сервер (где у меня прописан адрес компа-шлюза) Правильно? Эта галка?
- если обе галки снять - ни один комп не выходит в нет.
- расскажи про обход WinRoute. Как его могут обойти и как запретить (потом себе сделаю).

Sercam
Привет. Можно вмешаться? Меня заитересовало это:

Цитата:

- Прописал теперь вместо "Любого" только "этому адресу" пару сайтов (Rambler.ru и Delit.net). Машина зашла спокойно на оба сайта (спросив есестно имя и пароль пользователя).

Это ты где прописывал? В "Доступе" или "Пак. фильтре"? Такое ощущение что там и там.

Если у тебя Инет не сильно сейчас нужен, я бы на твоем месте сначала настройки WR оголил, т.е. в исх. состояние, а потом экспериментировал с "доступом" и "фильтром", причем не сразу с обоими, а по-очередно, и все это на одной машине, которая к тебе ближе, чтоб не бегать. Помнишь мой совет - сначала все на одной, потом аналогично на остальных.

Коллеги, вы общаетесь, и мне как-то стремно мешать. Но просто жаль Sercam, т.к. сразу за все хватается. Зачем тебе сейчас "в обход WR", сделай сначала необходимый проход.
Sercam, если я нужен, дай знать. Ок?

ZUMR нужен, нужен . Мне щас все нужны.
- Нет, я только с фильтрами экспериментирую. В доступе у меня для пользователей "*" стоит; т.е. все сайты (насколько я понимаю).
- А про "обход", так сказать раз уж заикнулись. Чтобы потом не забыть...

Вот если что по связке WR+Outpost
http://www.forum.ru-board.com/topic.cgi?forum=5&topic=2295#1
И еще вопрос ко все по поводу правил....у меня например примернон 300 имен запрета на доступ юзерам, если добавляю еще 100, то подвисает напроч, никто не научился это дело обходить?

Sercam

Цитата:

Правильно? Эта галка?

Цитата:

правильно настроена и я о статических адресах представления не имею.

no personal! В квадрате!!!

НЕТ, не ЭТА галка!!!! В свойствах сетевого окружения, где ты ip смотрел, есть такая строчка "Основной шлюз" - там должен стоять ip твоего сервака!!!

Цитата:

расскажи про обход WinRoute

Цитата:

ачем тебе сейчас "в обход WR", сделай сначала необходимый проход.

на все 100!!


Цитата:

если я нужен, дай знать.

нужен... нужен... а то у меня глаз мой оплавиться скоро...

Добавлено

Цитата:

В доступе у меня для пользователей "*"

ОТКЛЮЧАЙ ПРОКСЮ И СНАЧАЛО ПЫТАЙСЯ ВЫЙТИ В ИНЕТ БЕЗ НЕГО - ТАК СМОЖЕШЬ ОПРЕД ЧТО НЕ ТАК В РОУТЕ!!!

Sercam

Цитата:

"*" стоит

Сейчас убирай. т.к. это надо для авторизации пользователей, выходящих в Инет. Поэтому я и заинтересовался твоей фразой:

Цитата:

спросив есестно имя и пароль пользователя

Без * все компы могут выходить в Инет куда угодно, а вот поставив *, и определив под неё список, ты уже указываешь, кому надо авторизироваться. Понял?
Например: Rambler.ru - Иванов, Петров. Что это значит? Всем доступ открыт, а Иванову и Петрову придется ввести имя и пароль, чтоб туда попасть. Сообразил? И т.д. по всем сайтам, которые ты хочешь для кого-то прикрыть. Я же тебе это уже объяснял.

Работай сначала с фильтром на разр/запр. для нужного IP-шника.
По фильтру:
Делай запреты по внутреннему IP-шнику сервака и локалки. Уловил?
Результат - в студию. Жду.

vworld

Цитата:

300 имен запрета

Имеешь ввиду в доступе столько сайтов и расширений?

Цитата:

В свойствах сетевого окружения, где ты ip смотрел, есть такая строчка "Основной шлюз" - там должен стоять ip твоего сервака!!!

Если ты про это место, то при включённом прокси в Роуте всё-равно что там (основной шлюз в настройках) прописано или не прописано - работает.
Если галочку прокси снять в Роуте - то опять же всё-равно что прописано в Основном шлюзе компьютера - не заходит никуда.

ZUMR
Тебе отдельный вопрос
почему некоторые проги не идут из ЛВС через WR?
Например?
VisualRoute, LAN Gurd, X-Spyder и тюд в общем список у меня ростет не по дням
Я конечно предполагаю, что дело в авторизации скорее всего, но что то надо делать ведь?

greenfox

Цитата:

ОТКЛЮЧАЙ ПРОКСЮ И СНАЧАЛО ПЫТАЙСЯ ВЫЙТИ В ИНЕТ БЕЗ НЕГО

Пока не надо. У него вроде все нормально, он только в "доступе" и "фильтре" запутался.

Добавлено
vworld

Цитата:

некоторые проги не идут из ЛВС через WR

Имеешь ввиду сетевые? Могу подозревать, что NAT не дает, т.е. проги для этого на предназначены. Других мыслей пока нет.

Цитата:

Имеешь ввиду в доступе столько сайтов и расширений?

угу
На борде попадалось где то тема что из-за большого кол-ва запретов (ограничений), что если конечно поставить мощную машинку под WR, то и список возрастет
ИМХО не серьезно в том плане, что придется вообще тогда монстра ставить а нужно экономичное решение!

Цитата:

Цитата:"*" стоит

Сейчас убирай. т.к. это надо для авторизации пользователей, выходящих в Инет.

- Что сделал. Вместо "*" написал "www.yandex.ru" - так пойдёт? Если "да" - то машина теперь заходит куда хочет без логина и пароля.
пакетный фильтр всё ещё стоит на этот комп в запрете - не работает запрет.

vworld

Цитата:

дело в авторизации

Хотя вполне возможно, т.к. в командной строке надо писать имя и пароль к проксе (например как автомат. обновление Веба через WR)

Sercam

Цитата:

то при включённом прокси в Роуте всё-равно что там (основной шлюз в настройках) прописано или не прописано

Ясен пень, тк ты указывая прокси указываешь тем самым "как бы шлюз для http протокола"!!

Цитата:

Основном шлюзе компьютера - не заходит никуда

Те ты отключил прокси!!!!, прописал на клиенте адресс шлюза твоего сервера (надеюсь правильно!?) и в инет не уходит всё равно!? А пинг на сайты проходит при такой конфигурации!? Попробуй в роуте в пакетном фильтре прописать разрешения Всем на Всё по ip протоколу в такойже конфигурации... посмотрим.... может у тебя там запрет стоит.... хотя не должно...

ZUMR

Цитата:

Имеешь ввиду сетевые?

Да
LANguard - сканер безопасности, и кстати рекомендую как и X-Spider

Цитата:

Могу подозревать, что NAT не дает, т.е. проги для этого на предназначены.

Через WinGate шли, тогда я на модеме сидел и в WinGate небыло авторизации и правил - все напрямую шли...


Добавлено
ZUMR
У тебя есть авторизация по имени?
если нет, то идут проги или как? Просто есть проги, в настройках которых есть свойства хождения через прокси\фаервол...

vworld

Цитата:

монстра ставить

У меня P-IV-2400 с 1024 Mb.

Sercam

Цитата:

Вместо "*" написал "www.yandex.ru" - так пойдёт

Нет!!!!!!. Хочешь, чтоб я дальше помогал?
Я же сказал: "Верни все в исходное". И доступ и фильтр ЧИСТЫЕ. Прокси включена, журнал доступа тоже. NAT - только на внешнюю сет. карту.
IP - адрес на локалке и внутренней сервака - ВРУЧНУЮ.
Напиши так:
Сервак - 192.168.0.1, локалка 192.168.0.2. Жду.

ZUMR

Цитата:

И доступ

по моему ему проще всё же проксик роутовский откл - так останется один фильтр с его правилами, легче будет разобраться...

greenfox

Цитата:

останется один фильтр с его правилами

Давай с нуля. Он тогда поймет разницу доступа и фильтра.

Цитата:

Цитата:Основном шлюзе компьютера - не заходит никуда

Те ты отключил прокси!!!!, прописал на клиенте адресс шлюза твоего сервера (надеюсь правильно!?) и в инет не уходит всё равно!? А пинг на сайты проходит при такой конфигурации!? Попробуй в роуте в пакетном фильтре прописать разрешения Всем на Всё по ip протоколу в такойже конфигурации... посмотрим.... может у тебя там запрет стоит.... хотя не должно...

- Совершенно верно! Если в Роуте отрубить проксю, то по фиг чего ты там шлюзом писать будешь - никуда не выходит. Пинг тоже не проходит.
- Разрешение "всем для всех" опять же при выклеченном прокси? никуда не заходит, впрочем как и без всякого такого разрешающего правила.

Sercam
Не забудь на локалке в качестве шлюза адрес сервака 192.168.0.1

Цитата:

И доступ и фильтр ЧИСТЫЕ. Прокси включена, журнал доступа тоже. NAT - только на внешнюю сет. карту.

- всё сделал. Прокси вкл., остальное чистое.


Цитата:

IP - адрес на локалке и внутренней сервака - ВРУЧНУЮ.

- может глупый вопрос, но зачем я щас буду адреса все менять в локалке, если всё работает. Адреса прописаны - стат на карту в локалку и стат. на карте под модем.
- На пробном компе стоит в качестве шлюза адрес компа, что на модеме "висит". Комп "шарится" где хочет в нете. Так?

greenfox
Sercam
Предлагаю, чтоб не мучиться троим:
В 15.30 по Москве Sercam в студию докладывает о своей настройке WR и локалок на данный момент как с нуля. И тогда мы с greenfox советуем. Идет?
А то у Sercam уже раздвоение получается. А на выходе ноль.

Добавлено
Sercam
Читаешь мысли. Спасибо.

Цитата:

зачем я щас буду адреса все менять в локалке

Можешь не менять. Просто. если бы ты их дал, было бы легче. Их то скрывать не обязательно. Стандарт ведь.

Цитата:

адрес компа, что на модеме "висит".

Внутренней сетки?

Добавлено
vworld

Цитата:

У тебя есть авторизация по имени?

Да. Ты, наверное, уже забыл?

ZUMR greenfox докладываю. (прям как в армии когда-то).
Прокси включена, Доступ в Прокси - пустой.
Пакетный фильтр пустой.
В интерфейсах: Gigabit'ная карточка - ххх.ххх.ххх.200 - внутрь
Intel Pro карта - на модем - ххх.ххх.ххх.106 - наружу
RAS для соединения VPN к одной сети (Фонд страхования) только для 2-х исходящих адресов запросов. Прописаны как соединение по требованию если пытаешься зайти на их сервер статистики и ftp. (на всё остальное не касается).
Что-то ещё в Роуте важно?! Опишу что и как.

На хосте ip статически, маска, шлюз - ххх.ххх.ххх.200
В IE в подкл.LAN прокси по этому-же адресу.

На данном этапе машина входит без пароля и "ходит" куда хочет.