Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка WinRoute 4.x

Автор: exMIB
Дата сообщения: 30.06.2004 23:17
Как фильтровать в WR, когда запросы от юзеров на запрещенные сайты поступают не в ASCII, а в HEX и других форматах?
Все варианты вносить?
Например:
ASCII: bridgegold.com
HEX: %62%72%69%64%67%65%67%6F%6C%64%2E%63%6F%6D

Добавлено
А если запретить знак "%", то это будет решением?
Автор: larvs
Дата сообщения: 01.07.2004 10:05
неужели никто не строил WR на callback?
Автор: Fox007
Дата сообщения: 02.07.2004 10:27
В общем такая беда, есть локальная сеть и 2 сетевухи и winroute 4.2.5 и winXP, 1 внутреняя локальная, 2 смотрит с другую сеть которая дает интренет плюс есть и доспут в другую сеть, с моей сети инет раздается без проблем и в другой сетке тоже заходит на компы с сервера по ip адресу и да и с других тоже все пингуется, но тут возникает другая проблема, комп шефа находится в другой сетке так ему надо что бы он мог зайти в нашу сетку, черт его подери, а комп бухгалтера, вернее подключить сетевые диски, но все компы в нашей сетке не пингуются (из нашей все нормально), ip внешней сетевой которая смотрит в их сеть пингуется, а которая в нашу нет. если отключить winroute, то все нормально, шеф видит нашу сеть, где что надо изменить что бы и инет остался и сетки видели друг друга, поможите люди добрые
Автор: Serg0FFan
Дата сообщения: 02.07.2004 11:11
Fox007
Нихрена не понял.. по пунктам распиши..без лишних слов.
Што есть и чего хотелося бы...еще бы и схему нарисовал так ваще зашибиса было бы..Возможно после того как это сделаешь сам и решение найдёшь..бывало такое
Автор: Fox007
Дата сообщения: 02.07.2004 12:37
Serg0FFan
Объясняю на пальцах

1. На серваке 2 сетевые, 1 смотрит в внутреную, 2 в заводскую.
2. Через заводскую сеть идет инет
3. Комп шефа в заводской сети.
4. Я вижу заводскую сеть.
5. Заводская сеть нашу не видет и пингуется на моем серваке с заводской только IP карточки которая смотрит в завод,
6 если отключть винроут, то пингуется вся моя сетка из заводской, но пропадает инет.
Требуется оставить инет и получить доступ к моей сетки из заводской
Так яснее?
Автор: greenfox
Дата сообщения: 02.07.2004 13:20
Fox007
правила в пакетном фильтре какие прописаны!?
Автор: Serg0FFan
Дата сообщения: 02.07.2004 15:31
Fox007
ясно...ты на заводской ессно включил NAT так? Ну а херли ты хочешь теперь? Винроут этот интерфейс воспринимает как внешний и потому блокирует все поползновения извне! А потому лезешь в группы адресов..добавляешь айпи адреса заводской сети..и потома идёшь в настройки антиспуфинга..и гришь што на фейсе который заводской, што доступ всем и + группа адресов которые ты добавил...и ваще тама примеры есть..если у вас тама далее стоит файрвол и т.д. то ваще можна разрешить всем и всё в антиспуфинге ето рас...хм..далее смотреть нада..не сталкивалса. И ваще посмари в хелпе к винруту..тама показано как настроить такую фишку.
А я бы на тваём месте сделал так..
1) воткнул бы сетевуху...скажем нумер 2
2) её подключил бы к заводской сети ДЛЯ ВНУТРЕННЕГО ОБМЕНА..
3) воткнул сетевуху 3...для инета
4) подключил бы сетевуху 3 к заводской сети..(ессно айпи адреса разные)..
ну и в винруте указал што NAT делать тока на сетевухе 3... и прокси будет тока на неё есно..ну и на клиентах настраиваешь всё под сетевуху (айпи) нумер 3.

Фсё сказал.
Автор: exMIB
Дата сообщения: 02.07.2004 16:11
Вопрос такой, что делать с логами, когда они растут.
Просто удалять - жалко, но они бесконечно растут.
В идеале хотелось бы как-то их разбивать по месяцам, но в WinRoute такой функции нет.
В принципе с помощью BAT файлов это реализовать можно.
Но может кто тогда подскажет, в этих файлах ничего специфического для WinRoute нет, т.е. я про то что если создать чистый текстовый файл, а потом переименовать его в соответствующий ЛОГ-файл, то всё будет OK ?
WinRoute ошибку не выдаст?
Автор: greenfox
Дата сообщения: 02.07.2004 16:48
exMIB
останавливаешь роут (Stop WinRout Engine), переименовываешь нужный (секьюрети) лог фал, включаешь роут и он сам снова создаст нужный лог-файл.... а с переи менованным можешь делать что хочешь...

Serg0FFan
может проще ему сразу нат отключить да и не мучаться с 3-мя карточками!? На заводском шлюзе думаю уже нат настроен...
Автор: Fox007
Дата сообщения: 05.07.2004 11:48
Serg0FFan
greenfox

Всем спасибо, дейстивельно надо было только НАТ оключить и все, как говорится: "А ларчик просто открывалася"

Добавлено
greenfox
Serg0FFan

Но этом проблемы не закончились, вмете с отключением НАТа отвалилась почта, все таки 3 сетевая нужна
Автор: zorrack
Дата сообщения: 05.07.2004 21:53
Где WinRoute хранит все свои настройки? Т.е. как их сбекапить применить после переустановки системы?
Автор: greenfox
Дата сообщения: 06.07.2004 09:59
zorrack

Цитата:
Где WinRoute хранит все свои настройки? Т.е. как их сбекапить применить после переустановки системы?
только путём экспорта-импорта настроек реестра: HKLM-Software-Keiro и HKCU-Software-Keiro
Автор: vworld
Дата сообщения: 06.07.2004 10:24
greenfox
И кстати я как-то баловался с такой вещью экспорт/импорт ветки реестра - прошло гладко....
Автор: greenfox
Дата сообщения: 06.07.2004 11:38
vworld

Цитата:
И кстати я как-то баловался с такой вещью экспорт/импорт ветки реестра - прошло гладко....
я только так и сохраняю настройки в недельный бэкап, но есть одно НО (в пакетном фильтре): иногда роут при импортировании старых настроек поверх новых почемуто (иногда ещё раз повторю) изменившиеся правила не переписывает начисто, а закидываетих в самый низ списка в пакетном фильтре - так вот пришлось пару раз править ручками, а так вроде всё нормально работает...
Автор: vworld
Дата сообщения: 06.07.2004 12:29
greenfox


Цитата:
а закидываетих в самый низ списка в пакетном фильтре - так вот пришлось пару раз править ручками, а так вроде всё нормально работает...

А это будет приучать тебя к упарядочиванию правил чем меньше правил, теп спокойней
Автор: greenfox
Дата сообщения: 06.07.2004 12:54
vworld

Цитата:
А это будет приучать тебя к упарядочиванию правил чем меньше правил, теп спокойней
all hosts all ports - all hosts all ports : deny
Аминь!
Автор: vworld
Дата сообщения: 06.07.2004 13:17
greenfox
Открой мне пжл свой 445 порт и ты узнаешь ВСЮ прелесть админской жизни
А вообще, для меня вопрос безопасности работы так и остается очень больным и волнующим ....я наверное уже параноик?
Автор: vworld
Дата сообщения: 07.07.2004 09:31
greenfox
Вот и сегодня весь ипереживался про свой сервант пришео утром на работу, а он в ребуте ....странно....не хочется разводить флейм, но может как то решим вопрос - насколько безопасно использование WR? в плане защиты из вне? Может стоит переходить на др. программы? Тот же WR 6 например или ISA 2004?...
Автор: Serg0FFan
Дата сообщения: 07.07.2004 10:16
vworld
нее.. ты не параноик! У меня такая же фигня..в плане волнений о безопасности. Думаю могет есть какие нить дыры в винруте 4...например можно свалить или поребутить комп..ых..Ну это предположительно.
Автор: vworld
Дата сообщения: 07.07.2004 10:25
Serg0FFan
В самом WR может и нет серьезных дыр, но например составление грамотных правил...это уже большая брешь...вот например у меня ЛВС, нет никаких сервисов кроме почты, набор правил минимален, но при проверке безопасности обнаруживаю открытые порты по UDP...я не хакер и не знаю можно будет например по этим открытым портам что нибудь использовать...вот и огорчаюсь
Автор: greenfox
Дата сообщения: 07.07.2004 10:39
vworld
Serg0FFan

Цитата:
безопасно использование WR
идёшь в топик "лучший файервол", смотришь на те тесты файеров которые там есть, да сканируешь свою сеть (сервак) ими до посинения анализируя результаты...
что касается паранойи - то это отдельный вопрос, пиво тебе не помогает!?


Цитата:
.я не хакер и не знаю можно будет например по этим открытым портам что нибудь использовать...вот и огорчаюсь
читай доки, материалы на нужных сайтах(войд, секуритилаб и т.д.) - и всё будет в ажуре...
Автор: vworld
Дата сообщения: 07.07.2004 10:49
greenfox
Понимаешь, я уже не раз говорил, что в принципе WR - хорошая штука ....но вот насколько? Это ведь, не фаер, по ссылке которых ты меня отправляешь , это просто прокся, но например ISA тоже кэширующий прокси сервер но посмотрев ISA (мастадонта) и сравнив с WR - просто слов нет...
Все ведь растет и меняется, какие у меня были задачи - меняются, сам развиваюсь потихоньку, да опять же параноя (без пива), вот и все думу думаю, хочется оптимального решения для себя. Про WR я сделал для себя вывод и юзаю его в организациях где нет инетовских сервисов, хитрых программ с выходом в инте и высокого уровня обеспечения безопасности, т.е. конторки 10-15 компов, где одна 1С и офис
Автор: greenfox
Дата сообщения: 07.07.2004 10:55
vworld

Цитата:
но вот насколько?
я же говорил: сканеры безопасности + доки + прямые руки

Цитата:
Это ведь, не фаер, по ссылке которых ты меня отправляешь , это просто прокся,
ну... WR=прокси+пакетный фильтр (файер) + мыл + ещё кое-что...

Цитата:
Про WR я сделал для себя вывод и юзаю его в организациях где нет инетовских сервисов, хитрых программ с выходом в инте и высокого уровня обеспечения безопасности
Это да... ну тогда в чём вопрос!? Хватает пользуйся и пей пиво, нет - ищи что-то более надёжное (иса или шлюз на никсе ставь)...

ps блин флеймим мы с тобой.... ой не хорошо это
Автор: vworld
Дата сообщения: 07.07.2004 11:01
greenfox
Все конец флейму...конкретный вопрос - зачем открывать порты выше 1024?
Автор: greenfox
Дата сообщения: 07.07.2004 11:43
vworld

Цитата:
Все конец флейму...конкретный вопрос - зачем открывать порты выше 1024
это диапазон(пул) адресов, который ОС раздаёт приложениям для работы в сети когда те запросят его (порт) у этой самой ОС... те например для того, что бы твой браузер мого законектиться например на mail.ru:80 (те на 80-й порт) этому самому браузеру надо самому получить локальный порт с которого он будет работать - вот именно из диапазона выше 1023 ему и будет выделен адресс.... а всё что ниже 1023 - зарезервированно под стандартные службы...
ps в инетовских доках это всё есть....
Автор: vworld
Дата сообщения: 07.07.2004 12:00
4ALL
не сочтите за продолжение флейма, просто хочу оказать содействие для всех админов, ссылка на настроийка фаеров - читать всем!
Автор: vworld
Дата сообщения: 09.07.2004 21:23
Забыл указать ссылку исправлюсь попозжее только ...
Сейчас вот пытаюсь эксперементировать с удаленным доступом, но не все гладко проходит
Например для юзанья RAdmin+WR что надо сделать? Достаточно открыть порт на вход?
Автор: GreG
Дата сообщения: 12.07.2004 17:20
vworld

Цитата:
ссылка на настроийка фаеров - читать всем!

И где же ссылка?
Автор: vworld
Дата сообщения: 12.07.2004 20:14
Внимание для всех! порты фаеров
И вообще интересная тема, жаль, что она не панацея для всех случаев жизни, например есть ряд програм, которые я никак не могу запустить через WR
http://www.forum.ru-board.com/topic.cgi?forum=5&topic=11375#1
Кстати, если покопаться на все м форуме, а не только в этом топике, то можно найти мноооого инересного - для меня ру-борд кладезь знаний

Предложение для модераторов топика
В шапку запостить ссылку, где народ будет размещать инфу про программы, которые не смог запустить через WR и желательно краткое описание предполагаемой проблемы...

Еще не помню, поднимался ли вопрос относительно резки контента по его содержанию, т.е. no porno и все такое ? Если нет, то у меня где то была прожка для генерации правил и файлик правил в текстовом виде уже со списком...
Автор: vworld
Дата сообщения: 15.07.2004 10:52
Такое впечатление, что я в теме один
Проблема такая что немогу запустить RAdmin на машинке с WR, с greenfox уже все перепробовали - не идет
У кого был подобный опыт - поделитесь пешением!

Страницы: 1234567891011121314151617181920212223242526272829

Предыдущая тема: Можно ли соединить через интернет две разные локальные сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.