» Настройка WinRoute 4.x

thunderstorm

Цитата:

експлорер не по паролю?!

greenfox
Привет, коллега. Я вот из отпуска вышел.
По-моему ты thunderstorm не туда отправил, т.к. ему надо "звездочку" из "Доступа" в WR убрать.

thunderstorm
Изъяснись понятней. Запрос пароля идет при запуске IE?

Цитата:

ZUMR

Согласен с тобой на счет пароля
Товарищь просто правило постапвил со звездочкой - пусть отменить или думает над необходимостью этого ограничения...

На сервере две сетевухи - две выделенные линии.
Как организовать выход в инет на разных компах через разные сетевухи сервера?
Настроить фильтр пакетов в Winroute я могу.
А как направлять клиентов на другой порт отличный, к примеру, от 3128.
Т.е. может ли Winroute обслуживать два порта одновременно, чтобы можно было одних клиентов отправить на 3128, а других, к примеру, на 80 или 8080.
Или это как-то по-другому реализуется?

exMIB
для начала, если не ошибаюсь, надо роутинг в ОС настроить, чтоб она знала на какой шлюз какие пакеты рутить....

Читал со вниманием боевые действия офицеров Sercam, ZUMR и greenfox и вообще то у меня тоже самое.
Исходные данные такие:
Сеть на витой паре под Windows 2000 Server с DHCP и DNS.
Все IP у машин – динамические. Всего машин около 80. Все в одной подсети.
Выход в НЭТ по диалапу (модем Zyxel 336). Есть несколько соединений с различными провайдерами. В одно время звоним к одному в другое к другому. Все работает ОК, звонит как надо и разрывает соединение во время.
Задача:
Машинам с определенными IP (группа MORNING – 5 машин) давать выходить в НЭТ в одно время (УТРОМ), группе с другими IP (группа DINING – 5 машин) в другое (ОБЕД). Всем остальным – НИЧЕГО/НИКУДА.
Примечание:
Допускаем продвинутых пользователей которые могут обнаружить (узнать у разрешенных) настройки соединения, поэтому надо явно запретить всем пользоваться прокси кроме разрешенных.

Понимаю что надо в фильтрах настраивать, но не работает это и все…
По моему должно быть так:
Фильтр пакетов, интерфейс по которому выходим в НЭТ, входящие:
Протокол TCP
Отправитель: группа адресов MORGING, порт = любой -> адресат любой адрес, порт любой РАЗРЕШИТЬ (временной интервал UTRO)
Протокол TCP
Отправитель: группа адресов DINING, порт = любой -> адресат любой адрес, порт любой РАЗРЕШИТЬ (временной интервал OBED)
Протокол TCP
Отправитель: любой адрес, порт = любой -> адресат любой адрес, порт любой ЗАПРЕТИТЬ

Так вот, не работает это правило. Выходят кто угодно и когда угодно. То есть не видит пользователей WR по IP, хотя в логе HTTP видно с какого IP куда пошел запрос.
Раньше, вроде, работало это правило а потом надо было переставить все с начала (ОС) и SP поставил, долгое время правила не нужны были, вот сейчас надо настраивать а не получается. У меня подозрение на SP4, уж не знаю что он делает но…

Есть у кого помощь?

Pallot

Цитата:

Читал со вниманием боевые действия офицеров Sercam, ZUMR и greenfox

Ты уверен, что со вниманием? Я не совсем, т.к. обратил на твое сообщение:

Цитата:

Все IP у машин – динамические

Извини, но для запретов/разрешений по IP желательно иметь статику, т.к. они при автомате всегда изменяются. Тут уж ОС рулит.
А с запретами я обычно борюсь на уровне IP локалки и внутреннем IP сервака. Мне так удобней. Попробуй.

Если им задать достаточно «долгий» TTL то IP практически не прыгают и их нормально можно отслеживать. Я бы и рад перевести всех на статику да долго это и пользователи не поймут. Кто то останется на динамике и отследить его получается не получается (каламбурчик).


Цитата:

А с запретами я обычно борюсь на уровне IP локалки и внутреннем IP сервака. Мне так удобней. Попробуй.

То есть ты предлагаешь просто им доступ к серверу прибить? Ан нет… сие сделать не получиться, надо что бы они его видели в сети. Он служит файловым сервером. Ничего там больше не стоит (web, ftp, … и д.р. сервисов). Надо что бы только к прокси (в НЭТ права разрулить) доступ ограничить.

Pallot

Цитата:

Я бы и рад перевести всех на статику да долго это и пользователи не поймут.

а в dhcp прописать выделение конкретного ip по mac-адрессу не судьба!? Делается сидя на одном месте - после этого все компы будут каждый раз по dhcp получать каждый свой неизменный ip... а потом уже и правила настраивать надо....

ОК, пробуем
Завтра результат обнародую!!!

Да, а с правилами как, правельные??? lol

Pallot

Цитата:

Да, а с правилами как, правельные???

А ты их все написал!? Проще картинками сюда запостить....

greenfox
А нельзя таким образом что на одной машине прописываешь:
proxy: 3128,
а на другой
proxy: 80.

И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому.
Или это глупость?

exMIB

Цитата:

одной машине прописываешь

Как понять на 1-й машине!? А потом на другой!? Ты же сказал, что у тебя 2 сетевухи на серваке смотрят в инет, а одна в локалку, разве нет!?

Цитата:

И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому.
Или это глупость?

Увы, при вышеописанной мной схеме - это глупость, тк ОС манипулирует роутингом на уровне адрессов, а не портов, те шлюз получив пакет из локалки знает адресс источника и адресс назначения - а далее согласно таблице роутинга рутит пакеты либо во внешнюю сеть на 1-н из 2-х сетевых адрессов внешней карты, либо обратно в локалку - это и задаёт, как я уже сказал, таблица роутинга....
Хотя может и существует какое спецПО, которое может автоматом рутить пакеты в зависимости от порта (хотя и в этом случае его придётся настраивать анологичным образом)... не знаю, не втсречал....

greenfox
Я, извиняюсь, что неправильно выразился.

На сервере стоит модем и две сетевухи.
Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку.
Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке.
Как это организовать?
Выход через модем и WinRoute давно нормально работает.
У клиентов в IE стоит IP прокси и порт 3128.
Как теперь это дело разделить на модем и выделенку?

Pallot
А действительно есть необходимость "обрезки" юзеров по IP?
Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских паролей
Ведь все проблемы не решить только запретами на бумаги, а например юзер отдал свой пасс приятелю и тот насидел нормально а ты ему сразу отчетик - вот гасподин хороший нече было пассы раздавать
И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

P.S. Хотел спросить теперь уже у народа - на счет того, что я сканил свой WR из инета на наличие уязвимостей и есть несколько открытых UDP портов
Насколько серьезно что они открыты?

greenfox


Цитата:

А ты их все написал!? Проще картинками сюда запостить....

помоему сюда картинки не постяться, запрещено
куда можно из сбросить?

vworld


Цитата:

А действительно есть необходимость "обрезки" юзеров по IP?
Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских паролей

Но ведь все должно работать, и по IP должно резать права. Но вот почему то нелятае.
Вот это обстоятельство напрягает очень сильно.

Так что с правами? Может кто опишет правила?
Группе можно, всем остальным нет.

Добавлено
Да, забыл версию сказать - WR 4.2.5 RUS

Pallot
Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные...
1) создать группы адресов различные (192.168.0.1-192.168.0.10) например и т.д.
2) в фильтре пакетов дать правило (я пишу на внешнем интервейсе) в исодящих - отправитель Группа -> адресант Любой

P.S. кстати при помощи заранее оговоренных групп, можно "давать" народу в сети хождения на определенные IP только, т.е. разделение Инета на внутренний и внешний....у меня опять же не реализовано в силу малого потребления инета...

exMIB

Цитата:

На сервере стоит модем и две сетевухи.
Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку.
Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке.
Как это организовать?

Ясно. Тут 2 вопроса, один из которых не в этот топик.
1. Как я уже говорил, надо настроить роутинг на уровне ОС, чтоб она знала, с каких адресов куда (на внеш.сетевуху или модем) рутить пакеты.... winrout тут не причём, а соответственно и этот топик.... в нём ты только файервольные правила пропишешь, чтобы ограничить/защитить эти соеденения....
2. Это как было сказано расписать правила на этих 2-х интерфейсах для ограничения доступа этим группам куда не надо, для защиты и т.д. - думаю это не составит труда...
Естественно, что адреса предпочтительно иметь статические.... etc
vworld

Цитата:

И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

хм... а почему так!? защита-безопасность!?
Pallot

Цитата:

помоему сюда картинки не постяться, запрещено
куда можно из сбросить?

правила почитай и "скрипты" форума

greenfox

Цитата:

хм... а почему так!? защита-безопасность!?

Попробую ответить за vworld (у нас с ним почти однотипные задачи).
Я всегда исхожу из вопроса: Для чего это необходимо.
Для задач, которые выполняют мои юзеры в ЛВС с выходом в Инет это особо и не нужно. Вот и всё.


Цитата:

правила почитай и "скрипты" форума

Я считаю, что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай", а "Фул мембер" и админ, постоянщик этого топика. Коллеги, давайте уважать друг друга.

ZUMR

Цитата:

ЛВС с выходом в Инет это особо и не нужно. Вот и всё.

я у меня это есть и нужно... DHCp и DNS работают - поэтому мне интересно, почему так ...

Цитата:

что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай"

ты видно с утра ещё не проснулся!
я это Pallot говорил, посмотри внимательно....

ZUMR
Мы с тобой уже с полуслова друг друга понимаем - сорри за офф
Действительно я изхожу из рациональности и необходимости, и стараюсь "мутить" на на уровне софта и железа, а проще например с инетом решить вопрос, у кого из юзеров действительно есть необходимость в инете, это уже пререготива начальства....
Про DNS и DHCP - нужно смотреть построение сети - например мой случай, число машин у меня растет и приближается к 100 - DHCP в этом случае ИМХО есть Гуд, НО....например уже сложнее авторизировать по IP сделать конечно можно...DNS отправляю все исходящие запросы на DNS прова...
Просто я не вижу необходимости эти службы поднимать именно на WR, но у меня все поднято на внутреннем сервере

P.S. Я не устаю повторять, что ИМХО возникла необходимость рассмотрения вопросов в форуме безопасности при юзанье WR, точнее защита от проникновения и т.п.

Добавлено
greenfox

Цитата:

у меня это есть и нужно... DHCp и DNS работают - поэтому мне интересно, почему так ...

Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места.
Я задался и понял, что мне в итоге не надо запускать их.
И еще дело в том, что я не особо люблю юзать 100 программ одновременно, в случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел

vworld

Цитата:

Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места.

Видно я вас не с полуслова понимаю....
Я таким вопросам не задаюсь, я знаю что это нужно ибо работате это уже давно и нормально... спросил я потому, что ты сказал

Цитата:

И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

вот я и спросил почему!? но ты сам ответил

Цитата:

случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел

у тебя просто ситуация видать другая... вопрос снят...

Кстати, насчёт надёжности winrout-а - сам недавно сканировал, выдал только один пунк типа winrout пропускает tcp пакеты с установленым флагом каким-то... кстати было бы тоже интересно почитать про его надёжность...

greenfox

Цитата:

я это Pallot говорил

Сорри...

greenfox

Цитата:

Кстати, насчёт надёжности winrout-а - сам недавно сканировал,

Чем сканировал?
Брось в ПМ мне свой IP - я тебя тогда по старой дружбе могу по самое немогу просканить, я например свой просканил и .....несколько UDP и еще замечание по FTP, у меня правда нет этого сервиса, но чем черт не шутит

vworld

Цитата:

Чем сканировал?

Nessus
вот одно предупреждение на роут повесило...
Security Warning
The remote host does not discard TCP SYN packets which have the FIN flag set. Depending on the kind of firewall you are using, a attacker may use this flaw to bypass its rules.
See also : http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html http://www.kb.cert.org/vuls/id/464113 Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487
почитал ссылки - интересно, насколько это реально воплотить в жизнь...

Цитата:

несколько UDP

а номера какие!?

greenfox
А порт-маппинг в моем случае из WR не поможет?

Тут прозвучал вопрос про надежность WR в плане зашиты от проникновений. Чрезвычайно надежен при следующих условиях.
1. Почтовик WR работает в пассивном режиме. Те забирает почту по POP3 или SMTP через ETRN.
2. В настройках параметров защиты разрешено преобразование UDP пакетов, только являющимися ответами на исходящие (для TCP это включено всегда)
3. В пакетном фильтре применяется методика защиты всего ненужного. Для этого нужно посмотреть в реестр. Там есть ключики NatPortAllocBegin для 4.1.Х и NatPoolAllocBegin и NatPoolAllocEnd для 4.2.Х. Они определяют диапазон портов, используемых для работы NAT. Другими словами, если включен NAT и не используется других сервисов, то пакеты во внешний мир посылаются ТОЛЬКО с этого диапазона портов. Поэтому во внешних входящих и внешних исходящих нужно разрешить ТОЛЬКО этот диапазон портов, а не пресловутые >1024, которые преведены во всех доках. Если используются другие сервисы, то нужно в явном виде открывать их порты
vworld "WR+OU+IAM+MAM+ProxyInspector+MDaemon" это конечно круто!!!
Несмотря на висящий в шапке список утилей для WR, я все-таки позволю себе порекомендовать сходить на www.wrspy.ru Я там собрал некоторое количество утиля для WR и разных почтовых серверов, может это упростит тебе задачу.

vworld

Цитата:

Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные...

вот и я не видел проблем пока не было необходимости. А сейчас вопрос стоит ребром... а правило не работает.
Если всех запретить работает а, если одного разрешаешь то все лезут.
Так получилось или нет???

Pallot
Извини, но у меня в сеткенет особого места для эксперементов, так что ты уж самостоятельно у себя пробуй...
1)зайди Настройки\Дополнительно\Группы адресов - сделай там необходимые группы какие сочтешь нужными
2) в фильтре пакетов уже правила настравитаь просто выбирать Группу адресов, а там уже , те которые вводил загодя...
пиши если что...

exMIB

Цитата:

А порт-маппинг в моем случае из WR не поможет

думаю, что нет.... routing нужен...

greenfox
Тогда как или каким софтом?
Очень нужно это сделать.
Может не через разные порты, а как-нибудь ещё.