» Настройка WinRoute 4.x

Прочитал почти весь топик, но что-то не уловлю где у меня ошибка.

Есть сервер с Win2000 Server две сетевые карты, WinRoute4.2.5 Pro(rus) Kerio :
1. смотрит в локалку – IP X.X.7.1 (лок. сеть сосенно в диапазоне X.X.7.X)
2. на ней ADSL модем - IP X.X.1.3

Надо защитить локальную сеть от посягательств со стороны всемирной и дать определенным пользователям доступ в инэт.

Настойки->таблица интерфейсов…->
выбираем карточку №2 и включаем на ней «преобразовывать IP-адреса этого интерфейса во всех случаях установки связи»

Настройки->дополнительно->фильтр пакетов…->
На карточке №2 во входящих устанавливаем правила:
TCP любой узел все порты => Любой узел порт > 44999 разрешен
UDP любой узел все порты => любой узел порт > 44999 разрешен
IP любой узел => любой узел игнорировать

Было взято из - http://www.wrspy.ru/key.html

На карточке №2 в исходящих устанавливаем правила:

TCP x.x.7.10 все порты => любой узел все порты разрешить
TCP любой узел все порты => любой узел все порты запретить

Получает доступ в инэт только x.x.7.10 остальные порюханы.
Но беда в том что нет доступа никому.
Где что не так делаю??

Pallot

Цитата:

TCP x.x.7.10 все порты => любой узел все порты разрешить

Думай....прежде чем писать правила хождения в инет...
Я тебе проговорю твое правило, а ты внимательней будь.
По протоколу передачи данных TCP с IP х.х.7.10 (внимательно) со всех его портов можно идти в инет на все IP и на все порты.
обрати внимание на чтение мануала

Pallot

Цитата:

На карточке №2 в исходящих устанавливаем правила:

TCP x.x.7.10 все порты => любой узел все порты разрешить
TCP любой узел все порты => любой узел все порты запретить

А без этих двух правил выход в Инет есть? У всех IP-шников?
Смотрим еще >>ТУТ<<, >>ТУТ<<, >>ТУТ<< и >>ТУТ<<.
vworld правильно сказал:

Цитата:

.......на чтение мануала

Цитата:

Pallot

Цитата:
На карточке №2 в исходящих устанавливаем правила:

TCP x.x.7.10 все порты => любой узел все порты разрешить
TCP любой узел все порты => любой узел все порты запретить

А без этих двух правил выход в Инет есть? У всех IP-шников?

Есть. Если даже второе разрешаю.

Pallot
так у тебя же внутринний интерфейс на роуте х.х.7.1 а в правилах ты пишишь х.х.7.10?

Так я же пользователя пускаю в нэт (x.x.7.10 - это юзер)

vworld

Цитата:

....интерфейс на роуте х.х.7.1 а в правилах ты пишишь х.х.7.10....

Я мысль vworld уловил.
Pallot

Цитата:

......x.x.7.10 - это юзер....

Так и разрешай ..........10 на ..........1, причем по порту для WR (какой он там у тебя), а остальное обрубай. Так-то работает.
Только это все-равно ИМХО не защита, а так...... разрешение юзеру в Инет ходить.

Цитата:

Только это все-равно ИМХО не защита, а так...... разрешение юзеру в Инет ходить

а ваши предложения ??
Как настроить грамотно??

Pallot

Цитата:

....а ваши предложения ?? .....

Повторяю: >>ТУТ<<. Аж целых четыре (!) штуки указал. Причем когда я настраивал свою технику, то добавлял по одному из указанных там правил и проверял работоспособность юзеров. Если шел облом, то правило выкидывал.
Все сразу прописать - это не грамотно. Почему? Ответ: А если не пошла работа? Где ошибка.
Удачи.

ZUMR
Pallot
безопастность?
три порта открыть 80,110,25 ....и все

vworld

Цитата:

....открыть 80,.....

Я тебя понял. Но добавил бы, что 8х серию (ты понял... ).
Но ты же заметил, что Pallot подразумевал под безопасностью...... А мои линки даже не удосужился с первого раза почитать. Да ИМХО и твоему совету по поводу мануала не внял. Наверное лень.....

Да я логику не могу просечь.
Лано, лано читаю уже.
Просто кроме этой настройки надо еще всякие бумаги писать по поводу че, куму, куда мона и это все подписать у начальства.
Я не Ю.Цезарь.
Вот пишу и пробую, что бы быстро проверить работает или нет, можно так сделать или нет. Ведь иногда такие правила ограничения придумают…

Pallot
Я например все правила пишу на внешнем интерфейсе...и еще самое главное правило "Чем меньше, тем лучше", причем все правила надо знать как свои 5 пальцев, зачем? а затем, что например если со стороны инета пролезу на машинку, то можно тихонько добавить "особое" правило и уже не будет тебе счастья

З.Ы. на все будущие вопросы про правила....на бумаге нарисуй джля себя кто, куда ходит и по каким интерфейсам?

Немного я почитал лог и его расшифровку:
Вот кусок лога безопасности который пишется на правиле:
Исходящие->интерфейс в нэт
TCP любой узел все порты => любой узел все порты, лог.
===========================
[17/Jan/2005 14:19:03] Packet filter: ACL 1:2 NDIS 5.0 driver: permit packet out id=1227955 : TCP 10.10.1.x:1909 -> 64.12.163.130:80
[17/Jan/2005 14:19:03] Packet filter: ACL 1:2 NDIS 5.0 driver: permit packet out id=1227964 : TCP 10.10.1.x:1909 -> 64.12.163.130:80
[17/Jan/2005 14:19:03] Packet filter: ACL 1:2 NDIS 5.0 driver: permit packet out id=1227983 : TCP 10.10.1.x:1909 -> 64.12.163.130:80
[17/Jan/2005 14:19:04] Packet filter: ACL 1:2 NDIS 5.0 driver: permit packet out id=1227994 : TCP 10.10.1.x:1909 -> 64.12.163.130:80
===========================
(10.10.1.x – сетевой адрес карточки в которую воткнут модем (интерфейс в нэт))
Словами это выглядит так:
С IP 10.10.1.x через порт 1909 уходит пакет на IP 64.12.163.130 на порт 80
Правильно??

Вот кусок лога безопасности который пишется на правиле:
Входящие->интерфейс в нэт
TCP любой узел все порты => любой узел все порты, лог.
===========================
[17/Jan/2005 14:05:42] Packet filter: ACL 3:0 NDIS 5.0 driver: permit packet in id=1180336 : TCP 140.211.166.203:80 -> 10.10.1.x:60894
[17/Jan/2005 14:05:42] Packet filter: ACL 3:0 NDIS 5.0 driver: permit packet in id=1180355 : TCP 69.17.110.30:80 -> 10.10.1.x:60896
[17/Jan/2005 14:05:42] Packet filter: ACL 3:0 NDIS 5.0 driver: permit packet in id=1180374 : TCP 207.46.130.104:80 -> 10.10.1.x:60889
[17/Jan/2005 14:05:42] Packet filter: ACL 3:0 NDIS 5.0 driver: permit packet in id=1180377 : TCP 130.159.216.156:80 -> 10.10.1.x:60895
===========================
С IP 207.46.250.101 через порт 80 приходит пакет на IP 10.10.1.x на порт 60894 (там дальше он плавает)
Правильно??

Сосенно не понятно где тут фигурирует IP моего клиента из локальной сети которого надо фильтровать ??
Как можно применять фильтры к тому чего невидно??
Может тут трабл в том что локалка в 7 сегменте стоит (10.10.7.х) и соответственно прокси в этой же области.

Досталась сетка с WinRout Pro 4.2.4. в качестве proxy. Http работает прекрасно, я о нем и не вспоминал.
Возникла необходимость юзать ftp по 21.
В настройках Winrout ставлю в фильтрации пакетов, полный доступ на входящие и исходящие на оба интерфейса (экстремальный вариант). Настройки mapping пустые.
21 по прежнему закрыт
Машина под Winfows 2000 Server со всеми обновлениями. Дополнительно никаких фаерволов не стоит.
Прошу старших и опытных в настройке Winrout товарищей подсказать причину, а если можно и меры по устранению трабла.
Заранее спасибо.

Pallot
Да уж...ситуация сложная...я уж и не знаю что говорить...наверное снова к мануалам отправлять, понимаю конечно, что надо помочь, но просто мы навеорное на разных языках разговариваем
Ставь реальную цель: 1) Что надо? 2) Как будет? 3) Как реализовать?
YL
А как ты определил, что не работает?
например у меня тоталкомандир тоже не работает, а smartFTP работает, не забывай, что еще надо правильно сам ftp клиент настроить....

Набираю telnet IP данного компа, порт, пишет, что типа не могу установить соединение с данным хостом по данному порту.
Ну, плюс к тому сканирование открытых портов еще сделалю

YL
Авторизация есть у тебя?
Правила смотрел внимательно?

Проблема с WR4.2.5 под Win2003 Server

Есть локалка с выходом в I-net по выделенке (сетевая карта 1 на LAN, сетевая карта 2 на ADSL модем)
Провайдер (ISP) дал доменное имя firma.isp.net, статический IP x.x.x.18, адреса DNS (DNS1, DNS2), адрес шлюза - все на сет.карте 2 - и предоставил mail relay.
На WR реализован выход из локалки (статические IP в диапазоне 192.168.0.1-192.168.0.254, 12 машин) в I-net (прокси 192.168.0.1, DNS1, DNS2 - сет.карта 1) и получение почты на адреса users@firma.isp.net.
Пакетных фильтров не было, прокси блокировал доступ примерно к 10 порно-сайтам (URLы влезли из-за какого-то вируса).
Все работало прекрасно под Win2K Pro SP3 и WR 4.1.24.
Но из-за грядущего внедрения нового ПО по велению вышестоящего руководства пришлось перейти на Win2003 Server (Enterprise) и WR 4.2.5 (4.1.* под XP и Win2003 не работает), причем на новом железе. Настройки IP и WR перенес полностью. NAT в Win2003 вроде бы отключил - если что-то не пропустил. Если в настройках IE убрать ссылку на прокси, то I-net доступен, если ссылку на прокси указать, то доступ в I-net блокируется с сообщением типа "нет доступа к DNS - WinRoute Proxy". Почта внутри локалки ходит без проблем, внешняя (через mail.isp.net) не принимается и не отсылается - кроме как непосредственно после перезагрузки компьютера, т.е. пока не все сервисы загрузились.
Настройки DNS Forwarder в WR:
"Enable DNS Forwarding" - отключено
"Forward DNS ... from DNS servers known to the operating system"
"Enable cache ..." - включено
"Before forwarding ..." - включено "HOSTS file"
Что здесь может быть за проблема?

UserWR
Уффф....как ты много всего написал
Зри в корень....ничего сложного не должно быть....что то намутил с правилами...что точнее? надо внимательней приглядеться
Повырубай лишнее в начле....или наоборот дай на все полный доступ, чтобы убедиться, что прокся работает...

2UserWR

Цитата:

Проблема с WR4.2.5 под Win2003 Server

Есть локалка с выходом в I-net по выделенке

А зачем кайф ломать - я всмысле NAT выключил ???
блин прокси это прошлый век.

Делай "разрешить всё" как сказал уважаемый vworld
и смотри логи


мы в домашней сети используем Tmeter и считает и ограничение на скачаное - 2 в одном
+ банить можно, хотя выньроут прекрасно сам справляется.

гуд лак

Проблема была в маршрутизации. Когда убрал её (роль сервера удаленного доступа и VPN-сервера - была добавлена на перспективу), всё заработало. Детальнее разбираться буду, когда появится время.
2D56
Кайф не в том, чтобы ставить наиновейшие примочки, а чтобы все быстро настраивалось, и работало без глюков. У меня связка W2k Pro SP3+WR 4.1.24 отлично работала, пока из нета (c IP 217.21.50.38) не начал валиться вирус Backdoor.Rbot.Gen и AVP в героической борьбе с ним вешал комп. WR почему-то не смог заблокировать доступ к указанному IP. Добавмл ZoneAlarm Pro 4.* (первый попался в руки) и все стало Ok.
2All
Спасибо за ответы

Как можно перенести все настройки с одной машины, на другую?

2Labutin
Ежели для WR - то, самое простое, записать их на листике. Лично я распечатал скриншоты из-под Wordа - так было быстрее - и получилось 4 странички А4. Пароли, естествено, хранятся отдельно.

UserWR

Цитата:

WR почему-то не смог заблокировать доступ к указанному IP

А что ты делал, чтобы заблокировать IP?
У меня в легкую получается....смотрю логи WR (у меня авторизация идет)....вижу идут в инет пакеты непонтные куда-то....баню адрес куда идет этот пакет, смотрю с какого IP машики идет, иду и лечу каспером
Labutin
насколько я помню ВСЁ не получится перенести...лучше конечно мануалы читнуть ....а например список запретов и даже правило по пакетам все в реестре...

Labutin
Переносятся влегкую и все. Я даже инструкцию написал http://www.wrspy.ru/key.shtml

2vworld
Сейчас стоит русская версия, в английской было то же, но называлось немного по другому.
1) Настройки-Прокси сервер-Доступ - отлично блокировало порнуху и игровые серверы, куда кто-то залез пока я был в отпуске.
2) Для карточки, которая смотрит на ADSL модем: Настройки-Дополнительно-Фильтр пакетов-Входящие (а потом то же и на исходящие) - запрещал пакеты c/на внешний IP (см. выше), блокировал UDP порты (в разных комбинациях), т.к. вирус ломился на 137 порт, пару UDP - N и N+1 и на NetBIOS, причем номер UDP менялся.
Вирус делал файл tftp*.tmp и при помощи svchost.exe пытался загрузить его как процесс, чтобы начать передачу наружу, KAV убивал *.tmp, но svchost пытался его найти до 95% CPU (а когда штук 5-6 левых svchost пытаются одновременно отъесть по 95% каждый?!). KAV не мог найти сам вирус - короче было где-то описание подобного вируса, а это тема не сюда.
Дня два возни с пакетами и перезагрузки по 6-7 раз за день, когда работы немерено - и я поставил ZoneAlarm...

UserWR
ну про вири и как с ними бороться извини не совсем эта тема

vvworld
И я о том же. Просто ответил на вопрос от том, как пытался блокировать вирус.

Приветствую всех админов, помогите разобраться лузеру с ошибкой.

[20/Feb/2005 17:17:23] dns: N:10048 - DNS server initialization failed: the port 53 is already used by another process

Поставил WinRoute 4.2.5 russ настроил сеть (у меня adsl modem + nat) всего 2 компа
При коннекте второго компа к серверу, вылетает на серверной мащине ошибка и WinRoute отрубается Проконсультируйте, где трабл. Спасибки.

Добавлено:
Ура - нашел ответ!

Добавлено:
Свойства сетевого подключения - TCP/IP - дополнительно - DNS - и вбиваешь туда сервера прова, в Винруте ставишь галку - пересылка запросов на известные системе ДНС-серверы.

Нашел, сделал как написано, прописал DNS провайдера в сетевой карте и убрал его из винроутера, все равно дает ошибку