» Настройка WinRoute 4.x

У меня очередная затея
Создание VPN соединения на WR....у кого есть практический опыт?
P.S. просьба на мануалы меня не отправлять уже почитал...

vworld

Цитата:

у кого есть практический опыт

На данный момент ничем помочь не могу, не сталкивался. Извини.

Imhotep

Цитата:

выход в Internet с сервера на котором он (WinRoute) установлен был невозможен

Старожилы топика меня поймут, а вот для тебя вопросы:
"А для чего? Цель? Надо ли это?"

ZUMR

Цитата:

"А для чего? Цель? Надо ли это?"

Вероятно на этой машинке сидит юзверь, которому не надо давать инет...тогда ИМХО оптимально просто сделать авторизацию по имени, НО она и приносит различные проблемы для хождения различных прог в инет черех WR.
И еще хотел отдельным пунктом спросить про анализ HTTP траффика на наличие вредоносного кода...
Т.е. юзает ли кто проги типа ТрайдМикро? или нечто подомное в связке с WR?

vworld

Цитата:

на этой машинке сидит юзверь

На сервере?! Что же там за админ?

Цитата:

просто сделать авторизацию по имени

Я бы сказал в фильтре вход/выход между внутренней и внешней картой запрет по IP полный. Вообще-то ЛВС встанет. Деинсталировать с неё ИЕ!

Коллеги: greenfox, vworld.
Столкнулся у себя с проблемкой (заметил только сегодня). Проверьте свои, если делали.
В "Доступе" сделал ограничения на различные расширения для юзеров в виде *.zip (exe, avi и т.д.). Так вот бадяга, проверил сегодня - не на все расширения реагирует. Например, зип, ави не дает скачивать, а jpg пропустил. Идея с запретом у меня была какая - чтоб обои рабочего стола не качали, т.к. некоторые скачиваются только в бмп по 2 с лишним мега.
Обратил внимание, что в ИЕ они не высвечиваются, но стоит ПКМ щелкнуть и выбрать "Показать рисунок", как все работает (показывается и скачивается).
Чего бум советовать?

ZUMR
Сделал у себя сейчас только что запрет - *.jpg
ИМХО это не есть гуд Почему? Потому что в браузер без боли смотреть нельзя нет ни одной картинки , т.к. многие сайты исаользуют именно jpg картинки.
Затея твоя понятна и тоже для меня актуальна - прикрыть народу скачивать емкие картинки, но если так дальше пойдет например сейчас стало актуально и скачка мелодий для сотиков и т.д. и т.п. Я к чему? Да к тому, что сейчас в списке запретов у меня примерно 300 правил, однажды брал список правил squid и пробовал запихать в WR примерно 500 правил - тормоза безбожные, да и вообще просто отказывался работать в общем погоня за блокировкой остановилассь на 350 правилах.
Что теперь делать?
ИМХО переходить на никсы....это сугубо мое личное мнение, тот же squid под никсами поддерживет просто немеренный список запретов и нисколько не тормозит при их обработке (это уже по слухам).

vworld

Цитата:

это не есть гуд

Что? То, что скачивается или вид браузера?
Мне, по большому счету на вид браузера у юзеров наплевать (себе-то я все это разрешил). К тому же скорость открытия страниц повышена в целом в ЛВС. Им я это так и объяснил - извините, деньги. Пока молчат. А вот если догадаются?

Цитата:

скачка мелодий для сотиков и т.д. и т.п.

Уже закрыто.

Цитата:

списке запретов у меня примерно 300 правил

Я пока столько не набрал. Только основное, что заметил у своих. К тому же, ИМХО, мощность машинки с WR тоже роль играет. Кеш-память у WR можно будет попробовать поднять.

Взвращаясь к моему вопросу - чего советуешь? Есть возможность обойти?

Добавлено

Цитата:

нет ни одной картинки

Так я об этом и написал, что можно обойти с помощью ПКМ.

vworld

Цитата:

Что теперь делать?

ису ставь!

greenfox

Цитата:

ису ставь!

Она еще более мощной машинки потребует сейчас под WR стоит П3 Селерон 1,2Г 392М 40Г мать 815 на эту же конфигурацию ставил ИСУ - скорость работы не удовлетворила, вертелась как не смазаное колесо у телеги...
ZUMR

Цитата:

Есть возможность обойти?

По твоей проблеме я и проблему не увидил, как ты говоришь у пользователей, у меня так не работает

vworld

Цитата:

у меня так не работает

А как?
Например, ты пропишешь в "Доступе" *.jpg и *.bmp, определишь пользователей, кому это предоставлено.
Пользователи вне этого списка на открываемых страницах в IE картинки JPG и BMP в своих браузерах не видят. Только крестики.
Так?

У меня:
Щелкнув ПКМ по этому месту на картинке, пользователь может в высвечиваемом контекстном меню выбрать "Показать рисунок". Он тут же отображается, а потом его сохранить к себе на комп.
Вот что я обнаружил и хочу как-то это прикрыть.
Ведь с зипами, ави, мп3 это проходит.

А как у тебя это работает?

Спасибо Всем за внимание к моей проблеме.
ZUMR
Зачем оно нужно:
Сеть обслуживаемая данным сервером маленькая (5 компютеров без сервера), стоит он в комнатке, от которой у всех есть ключ (так получилось). Кто-то повадился жрать трафик ежедневно. Ругатся с народом не хочется.

greenfox
Proxy включен, Только ВЭБ

vworld
Авторизация по имени и паролю нежелательна.

Я не Админ - просто поддерживаю сеть в более менее нормальном состоянии, всех тонокостей настройки WINRouta не знаю. Если не сложно, более подробно про настройку фильтра пакетов.

Еще раз Спасибо!

ZUMR

Цитата:

Он тут же отображается

У меня нет, может из-за того что я юзаю MyIE, а не IE?
Imhotep
Ну друг любезный, про настройку пакетов я могу рассказвать ночи напралет, как Шахерезада только дафай для началы ты уж сам мануальчиками воспользуйся, там ИМХО ничего сложного нет, просто запрет поставь на IP этой машинки например в Исходящих соединениях...

Imhotep

Цитата:

Я не Админ - просто поддерживаю сеть в более менее нормальном состоянии

А это и есть администрирование, т.е. функции админа возложены на тебя.

Цитата:

5 компютеров без сервера

ОС Win server для работы в Инете не обязательна, т.к. прокси-сервер это просто название такое и многие путаются. Любая машинка с WR называется прокси-сервером.

Цитата:

Авторизация по имени и паролю нежелательна

Ну и зря. Т.к. тогда ты сам себе противоречишь:

Цитата:

Кто-то повадился жрать трафик ежедневно

Как же ты его тогда контролировать будешь?

Цитата:

Ругатся с народом не хочется

Там, где деньги - это неизбежно. Выбирай. Думаешь нам легко?

Цитата:

более подробно про настройку фильтра пакетов

Здесь vworld прав:

Цитата:

ты уж сам мануальчиками воспользуйся

А потом уже сюды. Если возникнут вопросы.
А с отказом от авторизации ты все-таки зря. Хотя это возможно и

Добавлено
vworld

Цитата:

У меня нет.......я юзаю MyIE, а не IE

Проверю у юзеров, т.к. до этого я проверял на соей машине, выходя в инет под их именами.

На сервере смотрящем в инет стоит WR 4.2.5 с включенным прокси и (вроде бы) NAT’ом, также на нем имеются три сетевые карточки -- 1 для связи с интернетом, а две другие для связи с двумя же сетями -- основной и подсетью (трафик перепродаем ей). Так вот, объясните, пожалуйста, как сделать так, чтобы из подсети не было доступа ни к ресурсам ни компьютерам основной сети. Но при этом подсеть имела доступ к Интернет, желательно через прокси, чтобы трафик считать.

Если можно, то укажите где и что блокировать, или пошлите туда, где есть информация об этом.

Как я сам понимаю, можно в настройках «фильтра пакетов» (кажется это «port mapping» в английском WR) диапазону IP адресов из той подсети запретить доступ к диапазону IP адресов из основной сети, но оставить открытым IP интернет-сервера (на нем WR стоит). Но может еще что сделать, или я не правильно мыслю...

sghi

Цитата:

или пошлите туда, где есть информация об этом

rtfm тебе поможет

Цитата:

настройках «фильтра пакетов»

ага

Цитата:

кажется это «port mapping» в английском WR

неа... packet filter - ну и в нём блок на всех вход в основ локалку из второй локалки на внутрен интерф (хотя можно и на другом)... более подробно в мануале - там всё есть...

А кто знаком с Kerio WinRoute Firewall выше 5 версии?
Он умеет траффик сам подсчитывать?

exMIB
Я не знаком, но что-то сомнения у меня на этот счет, такими вещами куда не посмотри занимаются другие уже организации

exMIB

Цитата:

кто знаком с Kerio WinRoute Firewall выше 5

Спроси здесь: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=5792&start=0#lt

Мужики
Может кто знает как помочь http://forum.ru-board.com/topic.cgi?forum=5&topic=0673&start=380#10 ???

IDreamer
Здесь советы по настройке WR 4.x, когда он уже установлен и пашет, а не публикация линков на свои проблемы по установке самой программы.

Товарищи подскажите, как востановить настройки Winrout 4.2.2 если сетевые карточки поменялись ???

pentium

Цитата:

.......сетевые карточки поменялись ....

Физически?
Так, вроде WR их сам найдет. Или я ошибаюсь?
Подробней можно, что у тебя произошло?

2 ZUMR

сдохла сетевушка и всё.
после установки новой, она появилась в винроут но само сабой чистая - без правил,
а старая тоже осталась с правилами.
как мигрировать или скопировать правила от одной сетевухи к другой ?
ного фильтров.
руки устанут )

thx

pentium

Цитата:

.....как мигрировать или скопировать правила от одной сетевухи к другой ?
ного фильтров....

Не могу понять, причем сетевуха и фильтры к ней? Пакетник ведь привязан к IP-адресу, а не к MAC-адресу сетевухи. Ты что, и адреса поменял? Или я чего-то не вгоняю?.

2 ZUMR

ничего кроме физической замены сетевой карты не произошло
Ip остался тот же, слот поменялся кажется ) на прошлой неделе произошло....

и это не впервый раз, ну всмыле если меняется физически сетевая, или умерает в винде - устанавливаеш драйвера заново или меняеш слот
происходит так что в винроутЕ остается та старая сетевуха, которой уже нет
и соответственно появляется новая без правил
и приходится переписывать правила по новой....

pentium
ИМХО Бэкап WR перед заменой сетевухи, сносишь WR , втыкаешь новую сетевуху и поднимаешь из Бэкапа....может так пройдет
Я чесно говоря не сталкивался с такой проблемой

2 vworld

куда вынимать из бакупа? если сетевая поменялась

2ALL
настройки фильтров хранятся в реестре, то их отуда вытащить, а когда потребуется - востановить, это получается типа бакапа фильтров для любой сетевой.
ну т.е. копировать только настройки, а потом подсунуть их в нужный момент под нужную сетевую карту.


Добавлено
Вопрос в том - КАК ЭТО СДЕЛАТЬ ?

Добавлено
Если это вообще можно сделать

Добавлено
Хотя невозможного ни чего небывает!!
(проверено)

pentium

Цитата:

и соответственно появляется новая без правил и приходится переписывать правила по новой....

Тогда я тебе не помощник, т.к. пока через это не проходил. Тьфу-тьфу.
Но, как сказал vworld можно попробовать побэкапить. Попытайся новому WR подсовывать "старые" файлы *.dat, *.dll и т.п. Вдруг подхватит?

ОК
придётся ручками...

pentium

Цитата:

придётся ручками...

Сначала головой

2 vworld

Цитата:

Сначала головой

тоже хорошо
а главное полезно...

Добавлено
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl
сами фильтры
поле Acl и есть выбор сетевой из раздела
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Iface
в этом разделе и присутствуют те которые WR имеет.

остальное дело техники

кстати а где бы раздабыть инфу по полям ключей в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl
???

может кто владеет инфой ??

в частности интересует поле dMode
у меня встречается 3 разных значения: 8193, 4098, 4097

Добавлено
интересно всё таки ...
(в Ставрополе МТС заработало ) )

Добавлено
[HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute\Acl\1]
"Acl"="1"
"Proto"="6"
"sMode"="4097"
"sAddr1"="0.0.0.0"
"sAddr2"="0.0.0.0"
"sNameAcl"="0"
"sPort1"="0"
"sPort2"="0"
"dMode"="8193"
"dAddr1"="0.0.0.0"
"dAddr2"="0.0.0.0"
"dNameAcl"="0"
"dPort1"="5554"
"dPort2"="0"
"Flags"="0"
"Action"="2"
"LogMode"="2"
"LogLevel"="0"
"TimeID"="0"
"ParamIp1"="0.0.0.0"
"ParamNr1"="0"
"ParamStr1"=""

-----
для примера
это фильтр входящих, первый (они же с нуля начинаются., т.е. второй )
блокировать порт дестени, т.е. мой 5554
и всё же
"sMode"="4097" и "dMode"="8193" для чего непонятно