Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка WinRoute 4.x

Автор: EUGENE ROYAL
Дата сообщения: 21.08.2006 09:35
поставь в 0, затем из интерфейса винрута поставь обратно
Автор: Radiant
Дата сообщения: 11.09.2006 15:48
Добрый день.

Нужна помощь в таком вопросе - при отправке письма через почтовый сервер Winroute-а через ретранслятор SMTP мне не приходят подтверждения о доставке письма на сервер.
Если же посылаю, минуя Winroute (версия 4.2.2), то все нормально.

Кто-нибудь встречался с такой проблемой?
Автор: Pr0d1
Дата сообщения: 26.09.2006 06:11
Приветствую всех!

ПОдскажите пожалуйста, народ ...
Я никак не соображу как дела обстоят в случае если подключение к Internet реалезованно посредством VPN ???

Ситуация следующая:
Как это и заведено -Машина с двумя сетевыми картачками (одна из которых "смотрит наружу" со статическим адресом 10.0.9.91 -в инет. а вторая в локальную сеть 192.168.0.1) в локальной сети 5 машин.
Соответственно в таблице интерфейсов появляется три интерфейса:

1-Ethernet Realtek RTL8139 192.168.0.1
2-Etherne SiS 900 10.0.9.9 on
3-RAS Line1 (VPN.lan.ru) 176.19.19.19 on

-Вопрос первый; на каких из интерфейсов необходимо включать NAT (недумаю что на приведённой выше схеме, реалезовано верно. но работает
-Вопрос второй; на каких из интерфейсов, в пакетном фильтре необходимо "резать" входящие и исходящие пакеты? И если можно, может кто сталкивался, опишите пожалюйста критически важные правила-фильтрации в моём случае ... (такие как к примеру понял что 47 и 1723 порт нужно держать открытым на входящем интерфейсе или я заблуждаюсь?)

-Заранее благодарен за внимание ...
Автор: vworld
Дата сообщения: 26.09.2006 06:24
Radiant
Мне не понравился почтарь WR поставил просто MDaemon связка хорошая получилась - 3 года работы - полет нормальный.
Pr0d1
Цитата:
-Вопрос первый; на каких из интерфейсов необходимо включать NAT (недумаю что на приведённой выше схеме, реалезовано верно. но работает

верно...на внешнем и на RAS

Цитата:
-Вопрос второй; на каких из интерфейсов, в пакетном фильтре  необходимо "резать" входящие и исходящие пакеты?

В принципе я все делаю только на внешней карточке

Цитата:
И если можно, может кто сталкивался, опишите пожалюйста критически важные правила-фильтрации в моём случае ... (такие как к примеру понял что 47 и 1723 порт нужно держать открытым на входящем интерфейсе или я заблуждаюсь?)

Не поднимал VPN на WR 4, но тема интересна по нему в этом аспекте.
Автор: Pr0d1
Дата сообщения: 26.09.2006 09:56
vworld
Спрасибо конечно ...
НО откуда тогда такая уверенность что нужно вкл. NAT на обоих интерфейсах (RAS и внешний)?
-К слову, Я тоже, настраиваю восновном на внешнем адаптере и фильтры и NAT включаю при обычном подключении без VPN ...
НО вот это "VPN" меня смутило сильно ... И напрягает что можно и на том и на другом интерфейсах (т.е. и на RAS и на внешнем) "резать" пакеты ТАК ГДЕЖ их необходимо всёже "подрезать"

-Будте любезны - "Направте на путь истинный" ?
[весь мануал по WinRout 4x перекапл, весь форум пересмотрел ... ну ходьбы словечко про правила фильтрации при VPN а очень нужно ... 7 локалок под управлением WinRout4 5 из них сидят на VPN ...]
Автор: Darksome
Дата сообщения: 26.09.2006 14:54
а VPN в данном случае есть еще один интерфейс и ничем в настройках не отличается от других...
на внешнем (SiS 900 10.0.9.9) нужные тебе правила для доступа в местную локаль + прохождение PPTP
а VPN он же RAS - правила для хождения в инет
NAT нужен на обоих интерфейсах, а иначе как у тебя локальные машины к ресурсам 10.x.x.x обращатся будут?
Автор: bsnvolg
Дата сообщения: 10.11.2006 14:59
Подскажите, как средствами WinRoure решить задачу маршрутизации двух сеток через ethernet. Одна сетка имеет адреса 192.168.1.0/255.255.255.0 другая 192.168.2.0/255.255.255.0 Адреса сетевух под WinRoute 192.168.1.254 и 192.168.2.254. Ось NT4WS SP6. Требования простые - прозрачное хождение траффика через маршрутизатор в обе стороны. Пробовал включить NAT на обоих интефейсах - не проходит такая фишка. Если включить NAT в каком то одном интерфейсе то трафик ходит только в одну сетку вперед и назад. Из другой сетки не идет. В руководстве такой случай не рассматривается но решение должно быть, я полагаю.
Автор: daBuz
Дата сообщения: 27.12.2006 15:02
Help! I need some body help!!!

Заранее хочу сказать, что данную тему избороздил вдоль и поперёк и на свой вопрос ответа не нашёл.

Так вот...
Имеем:

Windows 2003 Ent + DNS Server + Wiroute Pro 4.2.5
Поднят НАТ, причём в допольнительном разделе НАТ добалено сетвеой диапозон моей локалки с преобразованем адресов с внешего ip и "только с исход. интерфейса"
Для всех остальных НАТ запрещён! (Обращаю на это внимание)

Далее.

Есть внутри сетки Web\Ftp сервер. В винруте в опции распределения портов прописано перенаправление портов 80 и 21 на евойны внутренний адрес (вобщем всё как положено )

Далее.
В пакетном фильтре добавлены на внеший интерфейс следующий строки:
С любого TCP на мой внешний по порту 25
С любого TCP на мой внешний по порту 110
С любого TCP на мой внешний по порту 53
С любого UDP на мой внешний по порту 53.

Брандмауэр Windows выключен!!!
А теперь вопрос:
1) почему не перенаправляются запросы приходящие на 80 и 21 порт внешнего ip на нужный адрес в моей локалке???
2) Как только меняешь что-то в доп. настройках НАТа - ни один пользователь локалки не видит ДНС...
Что делать, господа? Кто знает?
Автор: Darksome
Дата сообщения: 27.12.2006 15:32

Цитата:

в допольнительном разделе НАТ добалено сетвеой диапозон моей локалки с преобразованем адресов с внешего ip и "только с исход. интерфейса"
Для всех остальных НАТ запрещён! (Обращаю на это внимание)

для чего?

на внешнем входящем

С любого TCP на мой внешний по порту 20-21
С любого TCP на мой внешний по порту 80

есть?
это для начала...
Автор: daBuz
Дата сообщения: 27.12.2006 15:46
Для того, чтобы собственно все всё видели Ибо без этого почему то локалка не видет ничего дальше своего шлюза... Т.е. ДНС перестаётся видется, а соответсвенно и весь инет...

НАТ на вшенем включен ессено...

Этого не было - сейчас добавил... Но ситуация не поменялась
Автор: Darksome
Дата сообщения: 27.12.2006 16:16
т.к. у тебя свой ДНС, то в винроуте ретранслятор отключен?
на внутреннем интерфейсе шлюз не указан?
какие есть еще правила?
непонятно почему стандартно нат неработает... зачем нужно преобразовывать?
Автор: daBuz
Дата сообщения: 27.12.2006 16:26
-т.к. у тебя свой ДНС, то в винроуте ретранслятор отключен?

отключен

-на внутреннем интерфейсе шлюз не указан?

нет, не указан (мануалы читаем )

-какие есть еще правила?

для внутреннего интерфейса есть ещё 2 правила - С любого TCP на мой внутренний ip 25 и 110 порты, т.к. этот сервер ещё является и почтовиком

-непонятно почему стандартно нат неработает... зачем нужно преобразовывать?

сам не пойму - работает только в такой связке, с преобразованием...

Может где в Win грабли зарыты глубоко??? Какие-нидь политики безопасности? Уже голову сломал! %)
Автор: Darksome
Дата сообщения: 27.12.2006 16:50
может и в W2k3 дело - с ней я винроут 4 не пробовал...

может пойти от обратного - в правилах для "все интрефейсы" вход и вых поставить:

протокол IP: любой адрес -> любой адрес = запрет и галочку вести лог

смотреть кто куда ломится и делать соответствующие разрешающие правила
(при это сразу сервер пропадет из сети)
Автор: daBuz
Дата сообщения: 28.12.2006 11:00
Ларчик открылся переустановкой Винрута и остановкой службы ICS в сервисах Винды...
Спасибо за помощь!
З.Ы.
Всё таки Виндовс дело тёмное!
Автор: vworld
Дата сообщения: 01.02.2007 14:22
вот возникла потребность ограничения инета...а именно есть прога, которая ходит строго на один сайт, по https как сделать так, чтобы юзеры ходили только на этото сайт и больше никуда?
Правила пробовал менть местами:
1) сначала *.* потом https.сайт.ру
2) сначала https.сайт.ру потом *.*
работает только в первом случае прога.
Автор: SHRIKE74
Дата сообщения: 01.02.2007 15:52
ставь не *.* а просто *

Добавлено:
и совершенно не обязательно ставить http, вполне достаточно просто сайт.ру
Автор: vworld
Дата сообщения: 06.02.2007 06:05
SHRIKE74
Цитата:
ставь  не *.*  а просто *

в чем разница?
мне то ограничение надо сделать чтобы. юзер мог ходить на строго определенный сайт и больше никуда
Автор: SHRIKE74
Дата сообщения: 06.02.2007 10:36
vworld
* запрещает или разрешает абсолютно всё, сайт укажи выше чем *, должно всё работать
Автор: xsmokex
Дата сообщения: 21.02.2007 20:34
Народ подскажите пожалуйста как мне заставить комп с линуксовой прогой ходить в инет через виндовую машину которая подключина к АДСл?

Ходить должна по UDP на порту 55777!
Зарание спасибо!
Автор: vayer
Дата сообщения: 07.03.2007 09:28
Подскажите, как настроить Winroute.
Имеется комп, на нем 2 сетевухи. В 1 локалка, во 2-ю воткнут ADSL-модем.
По ADSL идет корпоративка и инет.

Комп является маршрутизатором для корпоративной сети.
на нем же поднимаетсся PPoE соединение для инета.
Как настроить winroute, чтобы на компе, на котором стоит winroute, нельзя было
выйти в инет в обход прокси???
Автор: SHRIKE74
Дата сообщения: 07.03.2007 09:44
vayer
включи проксю на винроуте, на компах в броузере в подключениях должен быть указан айпишник и порт прокси, если есть домен то в групповых политиках запретить пользователям доступ в браузере ко вкладке подключение.
если надо на компе с винроутом сделать невозможность ходить в инет в обход прокси то
в броузере в подключениях должен быть указан айпишник и порт прокси
Автор: vayer
Дата сообщения: 09.03.2007 09:21

Цитата:
если надо на компе с винроутом сделать невозможность ходить в инет
в обход прокси то в броузере в подключениях должен быть указан айпишник и порт прокси


так и делаю, все равно iexplorer ходит напрямую
Автор: Pr0d1
Дата сообщения: 09.03.2007 09:32
Скорей фсего нужно ещё и здесь В iexploreе -сервис\свойства обозр.\подключения(поставить никогда неиспользовать) и идём далее в\настройка(заметь не "настройка LAN" а выше, просто "настройка")\убрать авто определение прокси, ну и естественно указать свою проксю!!!
-Помогло -Дай знать -интересно ...

-А знаетли ктонибудь, как действительно сделать так чтоб убрав эти настройки зверь с тачьки на которой прокся фсёж несмог пойти минуя WinRoute ?
Автор: vayer
Дата сообщения: 09.03.2007 10:32
ага, получилось
Автор: Pr0d1
Дата сообщения: 05.04.2007 09:53
Подскажите плз. как удалённо админить WinRoute который я установил на Server Win2003
-C обычными раб. станциями (под управлением WinXP) не возникает такой проблемы, через инет конектюсь и "рулю" WinRout-ом (естесно прописав предварительно соответствующие правила в самом WinRoute, ну там фильтрацию пакетов и на прослушку 44333 порта для администрирования)
-С серверной же версией винды, не фсё так просто оказалось ... пчему-то она не даёт доступа на порт который я указал (в WinRoute) для прослушивания ... ???

-Заранее длагодарен за ответы по существу
Автор: vprocenko
Дата сообщения: 05.04.2007 10:34
Господа спецы по WR 4.25
в журнал ошибок постоянно пишет
[05/Apr/2007 09:56:26] proxy: N:11004 - connection failed: DNS query for "icq.mail2world.com" failed : no data record of requested type.
[05/Apr/2007 09:57:17] proxy: N:11004 - connection failed: DNS query for "icq.mail2world.com" failed : no data record of requested type.

подскажите плиз как узнать кто запрашивает, с какого ip ?
Автор: ipmanyak
Дата сообщения: 05.04.2007 10:48
vprocenko Помнится в этом винруте должен быть журнал хождения юзеров Журнал HTTP (прокси-сервера)
, проверь может он просто не включен . В крайнем случае включи Журнал отладки. А насчет icq.mail2world.com , тут все просто - набери поиск в гугле, сразу узнаешь ! Одна из машин или несколько заражены почтовым червем ака SOBER
http://www.avira.com/ru/threats/section/fulldetails/id_vir/1443/worm_sober.y.html
Автор: vprocenko
Дата сообщения: 17.04.2007 11:47
ipmanyak
В жернале как раз ничего и нету про mail2world, удалось вычислить только по времени когда появлялись записи в логе ошибок и активности этого клиента в http логе.
когда в дебаге просил показать dns запросы - показало только от самого сервера
Автор: SerP and MoloT
Дата сообщения: 24.05.2007 15:00
Здраствуйте! 4.1.25
Такой вопрос есть програмулька ClearRoute Report Utility for WinRoute Pro
анализ атак.. и вся такая хрень, немогу нигде её найти..
Далее где посмотреть куда ходит юзер, по каким сайтам и как?
как максимально безопасить свою сеть от всякой хренотени извне? какие правила написать куда?
Терминал сервер в службы надо как то прописывать после его установки?
Автор: SHRIKE74
Дата сообщения: 24.05.2007 16:49
SerP and MoloT
если поставишь версию 4.2.5 могу дат подробный мануал по настройке, анализатор логов лучше использовать винроут спай

Страницы: 1234567891011121314151617181920212223242526272829

Предыдущая тема: Можно ли соединить через интернет две разные локальные сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.