Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка WinRoute 4.x

Автор: vworld
Дата сообщения: 15.09.2004 11:44
У меня очередная затея
Создание VPN соединения на WR....у кого есть практический опыт?
P.S. просьба на мануалы меня не отправлять уже почитал...
Автор: ZUMR
Дата сообщения: 15.09.2004 11:51
vworld

Цитата:
у кого есть практический опыт

На данный момент ничем помочь не могу, не сталкивался. Извини.

Imhotep

Цитата:
выход в Internet с сервера на котором он (WinRoute) установлен был невозможен

Старожилы топика меня поймут, а вот для тебя вопросы:
"А для чего? Цель? Надо ли это?"
Автор: vworld
Дата сообщения: 15.09.2004 12:19
ZUMR

Цитата:
"А для чего? Цель? Надо ли это?"

Вероятно на этой машинке сидит юзверь, которому не надо давать инет...тогда ИМХО оптимально просто сделать авторизацию по имени, НО она и приносит различные проблемы для хождения различных прог в инет черех WR.
И еще хотел отдельным пунктом спросить про анализ HTTP траффика на наличие вредоносного кода...
Т.е. юзает ли кто проги типа ТрайдМикро? или нечто подомное в связке с WR?
Автор: ZUMR
Дата сообщения: 15.09.2004 12:37
vworld

Цитата:
на этой машинке сидит юзверь

На сервере?! Что же там за админ?

Цитата:
просто сделать авторизацию по имени

Я бы сказал в фильтре вход/выход между внутренней и внешней картой запрет по IP полный. Вообще-то ЛВС встанет. Деинсталировать с неё ИЕ!

Коллеги: greenfox, vworld.
Столкнулся у себя с проблемкой (заметил только сегодня). Проверьте свои, если делали.
В "Доступе" сделал ограничения на различные расширения для юзеров в виде *.zip (exe, avi и т.д.). Так вот бадяга, проверил сегодня - не на все расширения реагирует. Например, зип, ави не дает скачивать, а jpg пропустил. Идея с запретом у меня была какая - чтоб обои рабочего стола не качали, т.к. некоторые скачиваются только в бмп по 2 с лишним мега.
Обратил внимание, что в ИЕ они не высвечиваются, но стоит ПКМ щелкнуть и выбрать "Показать рисунок", как все работает (показывается и скачивается).
Чего бум советовать?
Автор: vworld
Дата сообщения: 15.09.2004 13:08
ZUMR
Сделал у себя сейчас только что запрет - *.jpg
ИМХО это не есть гуд Почему? Потому что в браузер без боли смотреть нельзя нет ни одной картинки , т.к. многие сайты исаользуют именно jpg картинки.
Затея твоя понятна и тоже для меня актуальна - прикрыть народу скачивать емкие картинки, но если так дальше пойдет например сейчас стало актуально и скачка мелодий для сотиков и т.д. и т.п. Я к чему? Да к тому, что сейчас в списке запретов у меня примерно 300 правил, однажды брал список правил squid и пробовал запихать в WR примерно 500 правил - тормоза безбожные, да и вообще просто отказывался работать в общем погоня за блокировкой остановилассь на 350 правилах.
Что теперь делать?
ИМХО переходить на никсы....это сугубо мое личное мнение, тот же squid под никсами поддерживет просто немеренный список запретов и нисколько не тормозит при их обработке (это уже по слухам).
Автор: ZUMR
Дата сообщения: 15.09.2004 13:27
vworld

Цитата:
это не есть гуд

Что? То, что скачивается или вид браузера?
Мне, по большому счету на вид браузера у юзеров наплевать (себе-то я все это разрешил). К тому же скорость открытия страниц повышена в целом в ЛВС. Им я это так и объяснил - извините, деньги. Пока молчат. А вот если догадаются?

Цитата:
скачка мелодий для сотиков и т.д. и т.п.

Уже закрыто.

Цитата:
списке запретов у меня примерно 300 правил

Я пока столько не набрал. Только основное, что заметил у своих. К тому же, ИМХО, мощность машинки с WR тоже роль играет. Кеш-память у WR можно будет попробовать поднять.

Взвращаясь к моему вопросу - чего советуешь? Есть возможность обойти?

Добавлено

Цитата:
нет ни одной картинки

Так я об этом и написал, что можно обойти с помощью ПКМ.
Автор: greenfox
Дата сообщения: 15.09.2004 14:24
vworld

Цитата:
Что теперь делать?
ису ставь!
Автор: vworld
Дата сообщения: 15.09.2004 14:48
greenfox

Цитата:
ису ставь!

Она еще более мощной машинки потребует сейчас под WR стоит П3 Селерон 1,2Г 392М 40Г мать 815 на эту же конфигурацию ставил ИСУ - скорость работы не удовлетворила, вертелась как не смазаное колесо у телеги...
ZUMR

Цитата:
Есть возможность обойти?

По твоей проблеме я и проблему не увидил, как ты говоришь у пользователей, у меня так не работает
Автор: ZUMR
Дата сообщения: 15.09.2004 15:14
vworld

Цитата:
у меня так не работает

А как?
Например, ты пропишешь в "Доступе" *.jpg и *.bmp, определишь пользователей, кому это предоставлено.
Пользователи вне этого списка на открываемых страницах в IE картинки JPG и BMP в своих браузерах не видят. Только крестики.
Так?

У меня:
Щелкнув ПКМ по этому месту на картинке, пользователь может в высвечиваемом контекстном меню выбрать "Показать рисунок". Он тут же отображается, а потом его сохранить к себе на комп.
Вот что я обнаружил и хочу как-то это прикрыть.
Ведь с зипами, ави, мп3 это проходит.

А как у тебя это работает?
Автор: Imhotep
Дата сообщения: 15.09.2004 21:54
Спасибо Всем за внимание к моей проблеме.
ZUMR
Зачем оно нужно:
Сеть обслуживаемая данным сервером маленькая (5 компютеров без сервера), стоит он в комнатке, от которой у всех есть ключ (так получилось). Кто-то повадился жрать трафик ежедневно. Ругатся с народом не хочется.

greenfox
Proxy включен, Только ВЭБ

vworld
Авторизация по имени и паролю нежелательна.

Я не Админ - просто поддерживаю сеть в более менее нормальном состоянии, всех тонокостей настройки WINRouta не знаю. Если не сложно, более подробно про настройку фильтра пакетов.

Еще раз Спасибо!
Автор: vworld
Дата сообщения: 16.09.2004 07:48
ZUMR

Цитата:
Он тут же отображается

У меня нет, может из-за того что я юзаю MyIE, а не IE?
Imhotep
Ну друг любезный, про настройку пакетов я могу рассказвать ночи напралет, как Шахерезада только дафай для началы ты уж сам мануальчиками воспользуйся, там ИМХО ничего сложного нет, просто запрет поставь на IP этой машинки например в Исходящих соединениях...
Автор: ZUMR
Дата сообщения: 16.09.2004 09:02
Imhotep

Цитата:
Я не Админ - просто поддерживаю сеть в более менее нормальном состоянии

А это и есть администрирование, т.е. функции админа возложены на тебя.

Цитата:
5 компютеров без сервера

ОС Win server для работы в Инете не обязательна, т.к. прокси-сервер это просто название такое и многие путаются. Любая машинка с WR называется прокси-сервером.

Цитата:
Авторизация по имени и паролю нежелательна

Ну и зря. Т.к. тогда ты сам себе противоречишь:

Цитата:
Кто-то повадился жрать трафик ежедневно

Как же ты его тогда контролировать будешь?

Цитата:
Ругатся с народом не хочется

Там, где деньги - это неизбежно. Выбирай. Думаешь нам легко?

Цитата:
более подробно про настройку фильтра пакетов

Здесь vworld прав:

Цитата:
ты уж сам мануальчиками воспользуйся

А потом уже сюды. Если возникнут вопросы.
А с отказом от авторизации ты все-таки зря. Хотя это возможно и

Добавлено
vworld

Цитата:
У меня нет.......я юзаю MyIE, а не IE

Проверю у юзеров, т.к. до этого я проверял на соей машине, выходя в инет под их именами.
Автор: sghi
Дата сообщения: 24.09.2004 15:48
На сервере смотрящем в инет стоит WR 4.2.5 с включенным прокси и (вроде бы) NAT’ом, также на нем имеются три сетевые карточки -- 1 для связи с интернетом, а две другие для связи с двумя же сетями -- основной и подсетью (трафик перепродаем ей). Так вот, объясните, пожалуйста, как сделать так, чтобы из подсети не было доступа ни к ресурсам ни компьютерам основной сети. Но при этом подсеть имела доступ к Интернет, желательно через прокси, чтобы трафик считать.

Если можно, то укажите где и что блокировать, или пошлите туда, где есть информация об этом.

Как я сам понимаю, можно в настройках «фильтра пакетов» (кажется это «port mapping» в английском WR) диапазону IP адресов из той подсети запретить доступ к диапазону IP адресов из основной сети, но оставить открытым IP интернет-сервера (на нем WR стоит). Но может еще что сделать, или я не правильно мыслю...
Автор: greenfox
Дата сообщения: 24.09.2004 15:59
sghi

Цитата:
или пошлите туда, где есть информация об этом
rtfm тебе поможет

Цитата:
настройках «фильтра пакетов»
ага

Цитата:
кажется это «port mapping» в английском WR
неа... packet filter - ну и в нём блок на всех вход в основ локалку из второй локалки на внутрен интерф (хотя можно и на другом)... более подробно в мануале - там всё есть...
Автор: exMIB
Дата сообщения: 27.09.2004 00:51
А кто знаком с Kerio WinRoute Firewall выше 5 версии?
Он умеет траффик сам подсчитывать?
Автор: vworld
Дата сообщения: 27.09.2004 12:48
exMIB
Я не знаком, но что-то сомнения у меня на этот счет, такими вещами куда не посмотри занимаются другие уже организации
Автор: ZUMR
Дата сообщения: 29.09.2004 11:15
exMIB

Цитата:
кто знаком с Kerio WinRoute Firewall выше 5

Спроси здесь: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=5792&start=0#lt
Автор: IDreamer
Дата сообщения: 07.10.2004 08:50
Мужики
Может кто знает как помочь http://forum.ru-board.com/topic.cgi?forum=5&topic=0673&start=380#10 ???
Автор: ZUMR
Дата сообщения: 07.10.2004 09:11
IDreamer
Здесь советы по настройке WR 4.x, когда он уже установлен и пашет, а не публикация линков на свои проблемы по установке самой программы.
Автор: pentium
Дата сообщения: 10.12.2004 11:23
Товарищи подскажите, как востановить настройки Winrout 4.2.2 если сетевые карточки поменялись ???
Автор: ZUMR
Дата сообщения: 10.12.2004 11:28
pentium

Цитата:
.......сетевые карточки поменялись ....

Физически?
Так, вроде WR их сам найдет. Или я ошибаюсь?
Подробней можно, что у тебя произошло?
Автор: pentium
Дата сообщения: 14.12.2004 09:20
2 ZUMR

сдохла сетевушка и всё.
после установки новой, она появилась в винроут но само сабой чистая - без правил,
а старая тоже осталась с правилами.
как мигрировать или скопировать правила от одной сетевухи к другой ?
ного фильтров.
руки устанут )

thx
Автор: ZUMR
Дата сообщения: 14.12.2004 10:07
pentium

Цитата:
.....как мигрировать или скопировать правила от одной сетевухи к другой ?
ного фильтров....

Не могу понять, причем сетевуха и фильтры к ней? Пакетник ведь привязан к IP-адресу, а не к MAC-адресу сетевухи. Ты что, и адреса поменял? Или я чего-то не вгоняю?.
Автор: pentium
Дата сообщения: 14.12.2004 10:52
2 ZUMR

ничего кроме физической замены сетевой карты не произошло
Ip остался тот же, слот поменялся кажется ) на прошлой неделе произошло....

и это не впервый раз, ну всмыле если меняется физически сетевая, или умерает в винде - устанавливаеш драйвера заново или меняеш слот
происходит так что в винроутЕ остается та старая сетевуха, которой уже нет
и соответственно появляется новая без правил
и приходится переписывать правила по новой....
Автор: vworld
Дата сообщения: 14.12.2004 10:57
pentium
ИМХО Бэкап WR перед заменой сетевухи, сносишь WR , втыкаешь новую сетевуху и поднимаешь из Бэкапа....может так пройдет
Я чесно говоря не сталкивался с такой проблемой
Автор: pentium
Дата сообщения: 14.12.2004 11:11
2 vworld

куда вынимать из бакупа? если сетевая поменялась

2ALL
настройки фильтров хранятся в реестре, то их отуда вытащить, а когда потребуется - востановить, это получается типа бакапа фильтров для любой сетевой.
ну т.е. копировать только настройки, а потом подсунуть их в нужный момент под нужную сетевую карту.


Добавлено
Вопрос в том - КАК ЭТО СДЕЛАТЬ ?

Добавлено
Если это вообще можно сделать

Добавлено
Хотя невозможного ни чего небывает!!
(проверено)
Автор: ZUMR
Дата сообщения: 14.12.2004 11:38
pentium

Цитата:
и соответственно появляется новая без правил и приходится переписывать правила по новой....

Тогда я тебе не помощник, т.к. пока через это не проходил. Тьфу-тьфу.
Но, как сказал vworld можно попробовать побэкапить. Попытайся новому WR подсовывать "старые" файлы *.dat, *.dll и т.п. Вдруг подхватит?
Автор: pentium
Дата сообщения: 14.12.2004 11:47
ОК
придётся ручками...
Автор: vworld
Дата сообщения: 14.12.2004 12:02
pentium

Цитата:
придётся ручками...

Сначала головой
Автор: pentium
Дата сообщения: 14.12.2004 12:46
2 vworld

Цитата:
Сначала головой


тоже хорошо
а главное полезно...

Добавлено
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl
сами фильтры
поле Acl и есть выбор сетевой из раздела
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Iface
в этом разделе и присутствуют те которые WR имеет.

остальное дело техники

кстати а где бы раздабыть инфу по полям ключей в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl
???

может кто владеет инфой ??

в частности интересует поле dMode
у меня встречается 3 разных значения: 8193, 4098, 4097

Добавлено
интересно всё таки ...
(в Ставрополе МТС заработало ) )

Добавлено
[HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl\1]
"Acl"="1"
"Proto"="6"
"sMode"="4097"
"sAddr1"="0.0.0.0"
"sAddr2"="0.0.0.0"
"sNameAcl"="0"
"sPort1"="0"
"sPort2"="0"
"dMode"="8193"
"dAddr1"="0.0.0.0"
"dAddr2"="0.0.0.0"
"dNameAcl"="0"
"dPort1"="5554"
"dPort2"="0"
"Flags"="0"
"Action"="2"
"LogMode"="2"
"LogLevel"="0"
"TimeID"="0"
"ParamIp1"="0.0.0.0"
"ParamNr1"="0"
"ParamStr1"=""

-----
для примера
это фильтр входящих, первый (они же с нуля начинаются., т.е. второй )
блокировать порт дестени, т.е. мой 5554
и всё же
"sMode"="4097" и "dMode"="8193" для чего непонятно

Страницы: 1234567891011121314151617181920212223242526272829

Предыдущая тема: Можно ли соединить через интернет две разные локальные сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.