Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка WinRoute 4.x

Автор: ZUMR
Дата сообщения: 14.05.2004 15:36
thunderstorm

Цитата:
експлорер не по паролю?!


greenfox
Привет, коллега. Я вот из отпуска вышел.
По-моему ты thunderstorm не туда отправил, т.к. ему надо "звездочку" из "Доступа" в WR убрать.

thunderstorm
Изъяснись понятней. Запрос пароля идет при запуске IE?
Автор: vworld
Дата сообщения: 17.05.2004 09:33

Цитата:
ZUMR

Согласен с тобой на счет пароля
Товарищь просто правило постапвил со звездочкой - пусть отменить или думает над необходимостью этого ограничения...
Автор: exMIB
Дата сообщения: 17.05.2004 10:47
На сервере две сетевухи - две выделенные линии.
Как организовать выход в инет на разных компах через разные сетевухи сервера?
Настроить фильтр пакетов в Winroute я могу.
А как направлять клиентов на другой порт отличный, к примеру, от 3128.
Т.е. может ли Winroute обслуживать два порта одновременно, чтобы можно было одних клиентов отправить на 3128, а других, к примеру, на 80 или 8080.
Или это как-то по-другому реализуется?
Автор: greenfox
Дата сообщения: 17.05.2004 10:53
exMIB
для начала, если не ошибаюсь, надо роутинг в ОС настроить, чтоб она знала на какой шлюз какие пакеты рутить....
Автор: Pallot
Дата сообщения: 17.05.2004 13:27
Читал со вниманием боевые действия офицеров Sercam, ZUMR и greenfox и вообще то у меня тоже самое.
Исходные данные такие:
Сеть на витой паре под Windows 2000 Server с DHCP и DNS.
Все IP у машин – динамические. Всего машин около 80. Все в одной подсети.
Выход в НЭТ по диалапу (модем Zyxel 336). Есть несколько соединений с различными провайдерами. В одно время звоним к одному в другое к другому. Все работает ОК, звонит как надо и разрывает соединение во время.
Задача:
Машинам с определенными IP (группа MORNING – 5 машин) давать выходить в НЭТ в одно время (УТРОМ), группе с другими IP (группа DINING – 5 машин) в другое (ОБЕД). Всем остальным – НИЧЕГО/НИКУДА.
Примечание:
Допускаем продвинутых пользователей которые могут обнаружить (узнать у разрешенных) настройки соединения, поэтому надо явно запретить всем пользоваться прокси кроме разрешенных.

Понимаю что надо в фильтрах настраивать, но не работает это и все…
По моему должно быть так:
Фильтр пакетов, интерфейс по которому выходим в НЭТ, входящие:
Протокол TCP
Отправитель: группа адресов MORGING, порт = любой -> адресат любой адрес, порт любой РАЗРЕШИТЬ (временной интервал UTRO)
Протокол TCP
Отправитель: группа адресов DINING, порт = любой -> адресат любой адрес, порт любой РАЗРЕШИТЬ (временной интервал OBED)
Протокол TCP
Отправитель: любой адрес, порт = любой -> адресат любой адрес, порт любой ЗАПРЕТИТЬ

Так вот, не работает это правило. Выходят кто угодно и когда угодно. То есть не видит пользователей WR по IP, хотя в логе HTTP видно с какого IP куда пошел запрос.
Раньше, вроде, работало это правило а потом надо было переставить все с начала (ОС) и SP поставил, долгое время правила не нужны были, вот сейчас надо настраивать а не получается. У меня подозрение на SP4, уж не знаю что он делает но…

Есть у кого помощь?
Автор: ZUMR
Дата сообщения: 17.05.2004 15:30
Pallot

Цитата:
Читал со вниманием боевые действия офицеров Sercam, ZUMR и greenfox

Ты уверен, что со вниманием? Я не совсем, т.к. обратил на твое сообщение:

Цитата:
Все IP у машин – динамические


Извини, но для запретов/разрешений по IP желательно иметь статику, т.к. они при автомате всегда изменяются. Тут уж ОС рулит.
А с запретами я обычно борюсь на уровне IP локалки и внутреннем IP сервака. Мне так удобней. Попробуй.
Автор: Pallot
Дата сообщения: 17.05.2004 15:54
Если им задать достаточно «долгий» TTL то IP практически не прыгают и их нормально можно отслеживать. Я бы и рад перевести всех на статику да долго это и пользователи не поймут. Кто то останется на динамике и отследить его получается не получается (каламбурчик).


Цитата:
А с запретами я обычно борюсь на уровне IP локалки и внутреннем IP сервака. Мне так удобней. Попробуй.


То есть ты предлагаешь просто им доступ к серверу прибить? Ан нет… сие сделать не получиться, надо что бы они его видели в сети. Он служит файловым сервером. Ничего там больше не стоит (web, ftp, … и д.р. сервисов). Надо что бы только к прокси (в НЭТ права разрулить) доступ ограничить.
Автор: greenfox
Дата сообщения: 17.05.2004 16:05
Pallot

Цитата:
Я бы и рад перевести всех на статику да долго это и пользователи не поймут.

а в dhcp прописать выделение конкретного ip по mac-адрессу не судьба!? Делается сидя на одном месте - после этого все компы будут каждый раз по dhcp получать каждый свой неизменный ip... а потом уже и правила настраивать надо....
Автор: Pallot
Дата сообщения: 17.05.2004 16:10
ОК, пробуем
Завтра результат обнародую!!!

Да, а с правилами как, правельные??? lol
Автор: greenfox
Дата сообщения: 17.05.2004 16:13
Pallot

Цитата:
Да, а с правилами как, правельные???

А ты их все написал!? Проще картинками сюда запостить....
Автор: exMIB
Дата сообщения: 17.05.2004 18:31
greenfox
А нельзя таким образом что на одной машине прописываешь:
proxy: 3128,
а на другой
proxy: 80.

И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому.
Или это глупость?
Автор: greenfox
Дата сообщения: 17.05.2004 19:18
exMIB

Цитата:
одной машине прописываешь

Как понять на 1-й машине!? А потом на другой!? Ты же сказал, что у тебя 2 сетевухи на серваке смотрят в инет, а одна в локалку, разве нет!?

Цитата:
И те кто заходит на сервер через порт 3128 выходят в инет по одному каналу, а те кто заходит через порт 80 по-другому.
Или это глупость?

Увы, при вышеописанной мной схеме - это глупость, тк ОС манипулирует роутингом на уровне адрессов, а не портов, те шлюз получив пакет из локалки знает адресс источника и адресс назначения - а далее согласно таблице роутинга рутит пакеты либо во внешнюю сеть на 1-н из 2-х сетевых адрессов внешней карты, либо обратно в локалку - это и задаёт, как я уже сказал, таблица роутинга....
Хотя может и существует какое спецПО, которое может автоматом рутить пакеты в зависимости от порта (хотя и в этом случае его придётся настраивать анологичным образом)... не знаю, не втсречал....
Автор: exMIB
Дата сообщения: 17.05.2004 22:38
greenfox
Я, извиняюсь, что неправильно выразился.

На сервере стоит модем и две сетевухи.
Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку.
Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке.
Как это организовать?
Выход через модем и WinRoute давно нормально работает.
У клиентов в IE стоит IP прокси и порт 3128.
Как теперь это дело разделить на модем и выделенку?
Автор: vworld
Дата сообщения: 18.05.2004 06:51
Pallot
А действительно есть необходимость "обрезки" юзеров по IP?
Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских паролей
Ведь все проблемы не решить только запретами на бумаги, а например юзер отдал свой пасс приятелю и тот насидел нормально а ты ему сразу отчетик - вот гасподин хороший нече было пассы раздавать
И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

P.S. Хотел спросить теперь уже у народа - на счет того, что я сканил свой WR из инета на наличие уязвимостей и есть несколько открытых UDP портов
Насколько серьезно что они открыты?
Автор: Pallot
Дата сообщения: 18.05.2004 07:27
greenfox


Цитата:
А ты их все написал!? Проще картинками сюда запостить....

помоему сюда картинки не постяться, запрещено
куда можно из сбросить?

vworld


Цитата:
А действительно есть необходимость "обрезки" юзеров по IP?
Понимаешь - авторизация по имени ИМХО удобней и на мой взгляд дисциплинирует юзеров на счет раздачи своих сетевых и инетовских паролей


Но ведь все должно работать, и по IP должно резать права. Но вот почему то нелятае.
Вот это обстоятельство напрягает очень сильно.

Так что с правами? Может кто опишет правила?
Группе можно, всем остальным нет.

Добавлено
Да, забыл версию сказать - WR 4.2.5 RUS
Автор: vworld
Дата сообщения: 18.05.2004 09:52
Pallot
Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные...
1) создать группы адресов различные (192.168.0.1-192.168.0.10) например и т.д.
2) в фильтре пакетов дать правило (я пишу на внешнем интервейсе) в исодящих - отправитель Группа -> адресант Любой

P.S. кстати при помощи заранее оговоренных групп, можно "давать" народу в сети хождения на определенные IP только, т.е. разделение Инета на внутренний и внешний....у меня опять же не реализовано в силу малого потребления инета...
Автор: greenfox
Дата сообщения: 18.05.2004 11:30
exMIB

Цитата:
На сервере стоит модем и две сетевухи.
Первая сетевуха смотрит в локальную сеть, а вторая в инет через выделенку.
Надо организовать, чтобы часть компов из локальной сети продолжала выходить в инет через модем, а остальная часть через вторую сетевуху по выделенке.
Как это организовать?

Ясно. Тут 2 вопроса, один из которых не в этот топик.
1. Как я уже говорил, надо настроить роутинг на уровне ОС, чтоб она знала, с каких адресов куда (на внеш.сетевуху или модем) рутить пакеты.... winrout тут не причём, а соответственно и этот топик.... в нём ты только файервольные правила пропишешь, чтобы ограничить/защитить эти соеденения....
2. Это как было сказано расписать правила на этих 2-х интерфейсах для ограничения доступа этим группам куда не надо, для защиты и т.д. - думаю это не составит труда...
Естественно, что адреса предпочтительно иметь статические.... etc
vworld

Цитата:
И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

хм... а почему так!? защита-безопасность!?
Pallot

Цитата:
помоему сюда картинки не постяться, запрещено
куда можно из сбросить?

правила почитай и "скрипты" форума
Автор: ZUMR
Дата сообщения: 18.05.2004 12:02
greenfox

Цитата:
хм... а почему так!? защита-безопасность!?

Попробую ответить за vworld (у нас с ним почти однотипные задачи).
Я всегда исхожу из вопроса: Для чего это необходимо.
Для задач, которые выполняют мои юзеры в ЛВС с выходом в Инет это особо и не нужно. Вот и всё.


Цитата:
правила почитай и "скрипты" форума

Я считаю, что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай", а "Фул мембер" и админ, постоянщик этого топика. Коллеги, давайте уважать друг друга.
Автор: greenfox
Дата сообщения: 18.05.2004 12:09
ZUMR

Цитата:
ЛВС с выходом в Инет это особо и не нужно. Вот и всё.

я у меня это есть и нужно... DHCp и DNS работают - поэтому мне интересно, почему так ...

Цитата:
что ты ему грубо ответил. Дал бы ссылку на топик, этого хватило. vworld все-таки не "Ньюбай"

ты видно с утра ещё не проснулся!
я это Pallot говорил, посмотри внимательно....
Автор: vworld
Дата сообщения: 18.05.2004 12:24
ZUMR
Мы с тобой уже с полуслова друг друга понимаем - сорри за офф
Действительно я изхожу из рациональности и необходимости, и стараюсь "мутить" на на уровне софта и железа, а проще например с инетом решить вопрос, у кого из юзеров действительно есть необходимость в инете, это уже пререготива начальства....
Про DNS и DHCP - нужно смотреть построение сети - например мой случай, число машин у меня растет и приближается к 100 - DHCP в этом случае ИМХО есть Гуд, НО....например уже сложнее авторизировать по IP сделать конечно можно...DNS отправляю все исходящие запросы на DNS прова...
Просто я не вижу необходимости эти службы поднимать именно на WR, но у меня все поднято на внутреннем сервере

P.S. Я не устаю повторять, что ИМХО возникла необходимость рассмотрения вопросов в форуме безопасности при юзанье WR, точнее защита от проникновения и т.п.

Добавлено
greenfox

Цитата:
у меня это есть и нужно... DHCp и DNS работают - поэтому мне интересно, почему так ...

Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места.
Я задался и понял, что мне в итоге не надо запускать их.
И еще дело в том, что я не особо люблю юзать 100 программ одновременно, в случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел
Автор: greenfox
Дата сообщения: 18.05.2004 13:04
vworld

Цитата:
Задайся вопросом - зачем я поставил себе эти сервисы? и все ИМХО встанет на свои места.

Видно я вас не с полуслова понимаю....
Я таким вопросам не задаюсь, я знаю что это нужно ибо работате это уже давно и нормально... спросил я потому, что ты сказал

Цитата:
И еще не могу точно объяснить, но на машинку с WR я не стал поднимать DNS и DHCP....

вот я и спросил почему!? но ты сам ответил

Цитата:
случае с WR получается у меня WR+OU+IAM+MAM+ProxyInspector+MDaemon представь подправлять на этой связки, при том у меня еще куча различных дел

у тебя просто ситуация видать другая... вопрос снят...

Кстати, насчёт надёжности winrout-а - сам недавно сканировал, выдал только один пунк типа winrout пропускает tcp пакеты с установленым флагом каким-то... кстати было бы тоже интересно почитать про его надёжность...
Автор: ZUMR
Дата сообщения: 18.05.2004 13:46
greenfox

Цитата:
я это Pallot говорил

Сорри...
Автор: vworld
Дата сообщения: 18.05.2004 14:54
greenfox

Цитата:
Кстати, насчёт надёжности winrout-а - сам недавно сканировал,

Чем сканировал?
Брось в ПМ мне свой IP - я тебя тогда по старой дружбе могу по самое немогу просканить, я например свой просканил и .....несколько UDP и еще замечание по FTP, у меня правда нет этого сервиса, но чем черт не шутит
Автор: greenfox
Дата сообщения: 18.05.2004 15:20
vworld

Цитата:
Чем сканировал?

Nessus
вот одно предупреждение на роут повесило...
Security Warning
The remote host does not discard TCP SYN packets which have the FIN flag set. Depending on the kind of firewall you are using, a attacker may use this flaw to bypass its rules.
See also : http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html http://www.kb.cert.org/vuls/id/464113 Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487
почитал ссылки - интересно, насколько это реально воплотить в жизнь...

Цитата:
несколько UDP
а номера какие!?
Автор: exMIB
Дата сообщения: 18.05.2004 17:09
greenfox
А порт-маппинг в моем случае из WR не поможет?
Автор: Walker
Дата сообщения: 19.05.2004 03:21
Тут прозвучал вопрос про надежность WR в плане зашиты от проникновений. Чрезвычайно надежен при следующих условиях.
1. Почтовик WR работает в пассивном режиме. Те забирает почту по POP3 или SMTP через ETRN.
2. В настройках параметров защиты разрешено преобразование UDP пакетов, только являющимися ответами на исходящие (для TCP это включено всегда)
3. В пакетном фильтре применяется методика защиты всего ненужного. Для этого нужно посмотреть в реестр. Там есть ключики NatPortAllocBegin для 4.1.Х и NatPoolAllocBegin и NatPoolAllocEnd для 4.2.Х. Они определяют диапазон портов, используемых для работы NAT. Другими словами, если включен NAT и не используется других сервисов, то пакеты во внешний мир посылаются ТОЛЬКО с этого диапазона портов. Поэтому во внешних входящих и внешних исходящих нужно разрешить ТОЛЬКО этот диапазон портов, а не пресловутые >1024, которые преведены во всех доках. Если используются другие сервисы, то нужно в явном виде открывать их порты
vworld "WR+OU+IAM+MAM+ProxyInspector+MDaemon" это конечно круто!!!
Несмотря на висящий в шапке список утилей для WR, я все-таки позволю себе порекомендовать сходить на www.wrspy.ru Я там собрал некоторое количество утиля для WR и разных почтовых серверов, может это упростит тебе задачу.
Автор: Pallot
Дата сообщения: 19.05.2004 07:30
vworld

Цитата:
Я по IP не реализововал, но сейчас глянур и вроде как не вижу проблемы в том, чтобы группы ходили в инет только определенные...


вот и я не видел проблем пока не было необходимости. А сейчас вопрос стоит ребром... а правило не работает.
Если всех запретить работает а, если одного разрешаешь то все лезут.
Так получилось или нет???
Автор: vworld
Дата сообщения: 19.05.2004 10:07
Pallot
Извини, но у меня в сеткенет особого места для эксперементов, так что ты уж самостоятельно у себя пробуй...
1)зайди Настройки\Дополнительно\Группы адресов - сделай там необходимые группы какие сочтешь нужными
2) в фильтре пакетов уже правила настравитаь просто выбирать Группу адресов, а там уже , те которые вводил загодя...
пиши если что...
Автор: greenfox
Дата сообщения: 19.05.2004 16:06
exMIB

Цитата:
А порт-маппинг в моем случае из WR не поможет

думаю, что нет.... routing нужен...
Автор: exMIB
Дата сообщения: 19.05.2004 17:28
greenfox
Тогда как или каким софтом?
Очень нужно это сделать.
Может не через разные порты, а как-нибудь ещё.

Страницы: 1234567891011121314151617181920212223242526272829

Предыдущая тема: Можно ли соединить через интернет две разные локальные сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.