» Настройка WinRoute 4.x

hella

Цитата:

только по желанию преподавателя

Скопируй на ПЭВМ преподавателя файл "WrAdmin.exe"
Преподавателю права Админа. Пусть он подключается к серваку (где установлен WR) удаленно и предоставляет/запрещает доступ по его усмотрению на данный момент. Можно так, хотя и муторно каждый раз.

Нет! может, я не так объясняю.
Преподаватель как раз сидит за компом-сервером, где стоит Winroute.
я не знаю как в винроуте ограничивать доступ студентов одной группы в инет

Сразу извиняюсь если такой вопрос поднимался, но поиск не работает почему то...
Вопрос такой. У меня WinRoute 4.2.5 русский
Как можно установить для пользователей запрет на скачивание по шаблону, например *mp3 - файлы ?
Как в WinRoute запрещать какие-нибудь сайты.
Для того чтобы запретить всем (любой адрес) какой-то сайт я разобрался. Но тогда и я на него зайти не могу. А как сделать чтобы все не могли, а я заходил?
Подскажите пожалуйста, или направьте туда, где обсуждалось.

Sercam

Цитата:

направьте туда

справку читал по винроуту!? Линки есть здесь и в Программы (там аналогичный топик есть).

Цитата:

все не могли, а я заходил

там группы есть для этих целей и возможность иморта юзверей из домена M$.

Группы есть и созданы.
Но в Пакетном фильтре я не могу выбрать группу. Стрелочку нажимаю, а там пусто.
Пробовал по конкретным IP адресам - не работает. А для "любой" работает.

Sercam

Цитата:

я не могу выбрать группу

ну так ясен пень... это же не те группы, а адрессные! Они и фигурируют в пакетном фильтре. (создаются в settings->advanced->adress group.
А то что тебе надо (юзверные группы) - так это указывается в настройках прокси на закладке access. Вот там они должны быть!

У меня наоборот Настройки-Дополнительно-Группы адресов - пусто, а Настройки Прокси-доступ есть группы. Тогда может наоборот?
Т.е. Выбираешь исключительно по группе пользователей, а не адресу? Ясно. Создам и попробую настроить.
А с расширением как быть?

Добавлено
Ну вот попробовал.
Создал в Настройки-Дополнительно-Группы адресов по Тип/Сетевая маска задал адрес компа и маску сети.
Потом в Фильтрах запретил этой группе ip адрес какого-то сайта. Всё равно заходит.

А если поставить "любой" - запрещает всем - работает.

Sercam

Цитата:

Настройки-Дополнительно-Группы адресов - пусто

да... туда лезть тебе не надо в рамках данной задачи...

Цитата:

Настройки Прокси-доступ есть группы

угу.. они самые.... пользователи твои...

Цитата:

Выбираешь исключительно по группе пользователей, а не адресу

не до конца понял, что ты имеешь ввиду, но думаю справку ты не читал

Цитата:

А с расширением как быть?

по топикам посмотри... вроде уже кто-то на эту тему говорил... у меня у самого прокси отключён роутовский, squid-ом пользуюсь...

Я туда лезу. Выбираю Протокол - TCP (да вообще-то и при любом другом то-же).Тип - Группа адресов. Имя - клацаю стрелочку - а эффекта нуль.
Хотя в пользователях всё заведено, и пользователи есть добавленные по отдельности и целые группы. Чего-то я не понимаю.
Справку читал, но раз ты говоришь что там всё есть, значит плохо. Покопаюсь ещё по запрету расширения, раз не хочешь подсказать. Хотя самому интереснее, конечно.

Sercam

Цитата:

Выбираю Протокол - TCP

Ну какой мля tcp - тебе не фильтр нужен а ПРОКСИ роутовский!!! Тот фильтр нужен лишь для ограничения по портам-ip-шникам, а для ограничения по сайтам - НАСТРОЙКИ ПРОКСИ!!! Это по меню: Настройка - Прокси - Вкладка Доступ (вроде так по рус). Там увидишь группы (если ты их создавал - это в Настройка - Аккаунты (или пользователи)) - ну а далее берёшь группу или пользователяи для него лепишь список разрешённых сайтов (можно с маской)...

Цитата:

Справку читал

Добавлено
могу на мыло скинуть те руководства по роуту на русском, что есть у меня...

Стоял сервер W2000 с WinRoute 4.1.29. Дальше выделенка до интернет. Был настроен dial-up до сервера, т.е. я мог издому дозвониться до сервера и пользоваться интернетом, сам сабе провайдер, так сказать. Все прекрасно работало до прошлого лета, потом резко перестало. Единственное изменение на сервере, проделанное на сервере примерно в то время - установка SP4 для W2000Srv.
Описание проблемы: связь устанавливается, вход в сеть происходит, аутентификация пользователя проходит, IP-адрес успешно выделяется RRAS-сервером из указанного диапазона, например, 192.168.0.9 для клиента, 192.168.0.8 для сервера (диапазон 192.168.0.8-192.168.0.15). После переустановки RRAS первый сеанс связи работает, второй и последующие - не работают.
Может ли кто-нибудь объяснить мне, что произошло на самом деле? Или что где проверить? Теперь стоит WinRoute 4.2.4.

to greenfox
т.е. из: Другой, IP, ICMP, TCP, UDP, PPTP - мне что выбрать для прокси?
С группами - всё правильно, там они и есть. Но не выбираются хоть тресни.
А руководства, если не трудно, то скинь. Буду благодарен. ( sercam@comch.ru )

hella

Цитата:

Преподаватель как раз сидит за компом-сервером, где стоит Winroute.
я не знаю как в винроуте ограничивать доступ студентов одной группы в инет

Извиняюсь, что сразу не ответил. У моего провайдера 30-го была авария и я сидел без Инета.
Попытаюсь подробнее:
1. Преподу права админа в WR
2. После входа создать учетные записи всех, кто будет шарить Инет всегда (Дирек, Бух., сотрудники и т.д. с их паролями, которые им раздашь)
3. Объединяем их в группу (Например "Руководство")
4. Группу "Руководство" - в доступ (не забудь поставить в URL - *)
5. Для класса достаточно создать одну запись (Напр. "Ученик" с паролем напр. 123)
6. На всех компах в классе делаем таблички - "Выход в Интернет" Имя - Ученик, пароль - 123)
7. Надо дать доступ классу, препод добавляет запись "Ученик" в режим доступа, НЕТ - убирает.

Вот так, если просто и для всего класса.
Если надо для конкретного рабочего места, то не получится, т.к. WR работает с учетными записями и придется каждый раз создавать уч.запись ученикав, говорить ему, и он с любого компа ЛВС с этим именем выйдет в Инет.

Вроде все объяснил. Тепеть сможешь разобраться? Если что пиши.

Добавлено
Sercam

Цитата:

А руководства, если не трудно, то скинь

Извини, что вмешиваюсь. Посмотри шапку топика. Там две ссылки. Мы специально их туда выставили. Неужели не помогло?

Sercam
отослал... почитай на досуге...
ZUMR

Цитата:

Там две ссылки

не всё там в шапке...

greenfox
спасибо, поизучаю

greenfox

Цитата:

не всё там в шапке

Если есть возможность, выложи куда-нибудь и дай ссылку.

hella

Цитата:

ограничивать доступ студентов

Добавлю, что еще можно использовать пакетный фильтр для IP адресов локалок (разр/запр). Тогда можно и по отдельной машине. Если это подходит, то используй.

greenfox всё это я уже перечитал на форумах. Просто у тебя сохранено на винте. Чегой то я не нашёл ничего полезного для меня в данной ситуации. Как настраивается пара примеров есть, но это не совсем мой случай. Где там про запрет по разрешению файла и как всё же запретить конкретный сайт конкретному человеку или группе.
Я бы скриншоты мог выложить для того чтобы мне подсказали где не правильно.

Sercam

Цитата:

я уже перечитал на форумах

да... это всё было собрано с разных форумов и сайтов... ты много читал, если всё это перечитал...

Цитата:

там про запрет по разрешению файла

а я разве говорил про файл!? Я говорил что это касается настройки прокси, а не пакетного фильтра, который ты всё пытаешься настроить... а вот можно ли это сделать конкретно силами проски самого винроута - надо читать... мне кажется что нет... но может тут кто что и подскажет...

Цитата:

как всё же запретить конкретный сайт конкретному человеку или группе

zumr вроде уже сказал - что настраивается там разрешение конкретной группе или пользователю на сайт или сайт по маске, а вот чтоб было у всех, но при этом эти самы все не имели доступа к некоторым сайтам - это надо их ограничевать по ip адресса в том самом пакетном фильтре, который ты мучаешь уже не первый день, но в совершенно других целях. Как определить ip сайта знаешь!? Как потом создать группу из ip адрессов и прописать запрет на них в пакетном фильтре прочитал!? Прочитал что придётся запрещать таким образом уже не пользователю, а машине, на которой он сиди!? (придётся привязываться к её ip адрессу) Ты вроде говорил да!?!?
Ну а если тебе хочется ещё большей гибкости в управлении именно доступом пользователей, а не машин, на которых они сидят, то видно надо ставить не винроутовский прокси...

Меня вполне устроит привязанность конкретного пользователя к своей машине. Проблема каждого пользователя пускать кого-то или нет за свой комп - разбираться то я с ним буду за превышение трафика а не с тем кого он пускал.

По IP адресу тоже запрещал - не работает. Может не так что.

Адресат: тип - узел, ip адрес - адрес сайта. а не его буквенное значение. Так?
Отправитель: сетевая маска - адрес и маска компа, которому нужно кислород перекрыть
Протокол: ??? Вот тут сомнения

А может и ещё где неправильно всё делаю, подмогните.

Sercam

Цитата:

для пользователей запрет на скачивание по шаблону, например *mp3

По-моему ты уже замучил greenfox.
Я тебя правильно понимаю: ты качаешь что хочешь, а кто-то - только что-то?
И ты хочешь этим управлять? Использовать собираешься расширения файлов? Так?

ZUMR никого я не мучаю, просто пытаюсь получить ответ у знающих людей.
Я хочу чтобы можно было какому-то конкретному пользователю, или IP адресу его компьютера или группам запрещать качать музыку, фильмы и др. запретив скачивание всех расширений этих файлов вообще, а не выцеплять эти ресурсы и не добавлять их в запрет. Пусть хоть весь интернет копают, даже самый малоизвестный ресурс с музыкой - чтобы всё равно не качали. И ещё особо рьяным пользователям интернета, которые, скажем, по 100 раз на дню заходят на сайты (к примеру) анекдоты почитать - эти сайты прикрыть именно для них, но оставив возможность другим (которые раз в месяц тоже хотят их почитать) туда заходить.
Вот примерно так. Т.е. направления два.

Sercam

Цитата:

вполне устроит привязанность конкретного пользователя к своей машине

это многое облегчает...

Цитата:

По IP адресу тоже запрещал - не работает. Может не так что.

логично... сам уже отвечаешь на свои вопросы - это хорошо!

Цитата:

Протокол: ??? Вот тут сомнения

TCP - http работает поверх TCP , и соответственно и все www службы тоже.
могу скриншот со своими настройками выложить... у тебя аналогично будет...

greenfox Если не сложно, выложи.
Но я и так вроде всё написал что делал. А протокол тоже TCP ставил. Непонятно...

Может я не на ту карточку ограничения "вешаю". Надо на ту что наружу смотрит в нет?

Sercam
Ну что ж попробую:
Создавая учетную запись в WR имей ввиду, что с её именем выйти в Инет можно с любого компа ЛВС (не используя пак.фил.)
1. Этого всего сразу WR сделать не сможет (не предназначен), т.к. не всегда наши огромные желания реализованы в одном программном продукте.
2. Доступ в Инет в WR можно устраивать по учетным записям ("Доступ") и IP адресам ("Пакетный фильтр").
3. В "Доступе" прописываются конкретные URL-ы, расширения и т.д. и к кому они относятся. Т.е. указавай УРЛ и пользователей к нему. Например *.zip - Иванов, Петров и т.д., *.avi - Сидоров, Иванов и т.д. Можешь объединить в группы. И так по всем параметрам кому ты готов это предоставить или запретить. Учти, что * или *.* - это любой УРЛ. Не зная паролей юзеры не смогут выйти на эти сайты или скачать файлы.
4. В "Пакетном фильтре" можешь закрывать локалки по IP адресам своей ЛВС. Например 192.168.0.1 запрещаешь выход на внутреннюю сет.карту проксика и всё - с неё в Инет ни-ни ни с какой уч. записью в WR.

Вроде объяснил. Попробуй поварьировать этими двумя параметрами исходя из твоих запросов.

В настройках Прокси во вкладке Доступ у меня стоит "*", в том числе и на какого-то пользователя Vasya. Значит он может просматривать всё, но через своё имя и пароль.
В Пакетном фильтре, в Исходящих попробовал повесить ограничение и на одну и на вторую карточку (уже стал сомневаться что точно нужно на ту что наружу глядит); вот как.
____________________________________________________________
Протокол: TCP

Отправитель: Тип: Сетевая/маска: адрес компа (пробовал ещё УЗЕЛ)
Порт: Любой

Адресат: Тип: Узел - ip адрес сайта
Порт: Любой

Действие: Запретить
____________________________________________________________

Где вкралась ошибка? Комп как заходил на этот сайт так и заходит.

Sercam
Кусок нужных тебе настроек - на рис-ке.

для запрета сайтов можно редактировать только фильтр на исходящем интерфейсе
На рис-ке:
LocalArea - группа с ip-шниками моей локалки.
Camania - группа с ip адрессами, к которым ты хочешь запретить доступ? в данном случае у меня это порносай, на который пользователям моей локалки заход запрещён.

как видишь запрет идёт по IP и никакие др протоколы сдесь не нужны. Как записать группу с ip-шниками сам разберёшься!? Можно вместо групп и сами адресса указывать... но это долго и не правильно..


Добавлено
блин.. рисунок не идёт... я тебе на почту сбросил...

Добавлено
Sercam
Можно и просто протокол IP
TCP сдесь не обязательно... хотя и так должно работать...

На исходящем интерфейсе:
Протокол: IP
Отправитель: Тип: Host(или группа): адрес компа
Адресат: Тип: Host (или группа) - ip адрес сайта (сайтов)
Действие: Запретить

Добавлено
ZUMR
я пошёл на обед... думаю ты справишься...

greenfox Хотелось бы в форум файлы прилепить, но не могу.
Глянь почту. Я тебе скинул всё как у меня есть.
На первом видно каков итог, на втором - как внутри, на третьем - что и группы есть добавленные и пользователи, а на четвёртом рисунке видно что у меня вываливается, когда я эту группу пытаюсь выбрать.
Глянь пожалуйста, и скажи что и где у меня не так.

Добавлено
Нашёл я откуда можно группу добавлять. Не как ты говоришь из Групп Учётных записей пользователей, а из Группы сетевых адресов в Настройки-Дополнительно.
Но это сути не изменило. Попробовал. Задал там группу, диапазон адресов; в Пак. фильтре для этой группы всё на фиг запретил - эффекта нуль.

Sercam

Цитата:

эффекта нуль

ЧУДЕС НЕ БЫВАЕТ!!!!
Посмотри правильно ли ты ip сайта определил, тот ли интерфейс (я имею ввиду карточка сетевая - та что в инет смотрит?)!? Что у тебя за топология сети и где стоит винроут хоть - на шлюзе надеюсь!? Какие правила прописаны на роуте - может ты ранее всем разрешил доступ!? Что в логах роут пишет!?

Роут на шлюзе. Адрес ip правильно (через ipconfig он определяется "надеюсь"). Ст авлю на карточку что наружу смотрит (на DSL, а не во внутреннюю сеть). А в логах вообще вместо сайта www.delit.net (который я пытаюсь запретить) идут ссылки на какие-то другие, но время совпадает. А в анализаторе логов пишутся запросы на delit.net
Мож в сайте дело? Я уже вообще запарился.
Доступ ко всем сайтам у меня стоит в Настройки Прокси - Доступ - "*". И всё.

Дааа давненько я тут небывал изменений никаких, неужелия я такие же вопросы задавал ...росту блин
WR стоит как влитой уже почти 8 месяцев, ИМХО благодаря еще и Outpostu, я даже теперь начинаю реализовывать постоянно эту связку, где только можно (есть у меня различные ЛВС), но есть теперь очень большое НО.... которое появилось совсем недавно - и эта беда зовется читалкой логов WR и построение нормальных графиков для просмотра использования инета, если одним словом, то биллинг или нечто подобное.
FTP сервак внутри ЛВС так и не смог реализовать причины? или WR, или Serv-U, а что важнее - мои корявые слегка ручки
За Web сервер и браться теперь боюсь
Игру например Ultima Online тоже не смог запустить через WR
Из плюсов? ....Стабильность работы WR.
И еще, как предложение, рассмотреть Пакетные фильтры у друг друга, ну не то чтобы все (подарок хацкерам) но основы безопасности думаю нужно более осознанно понимать, в любимой ссылке ZUMR http://winfaq.com.ru/ubb/Forum9/HTML/000028.html конечно есть многие вещи, но просто я как то в "собственном соку" вращаюсь и не знаю, может у меня и все по корявому настроено?
В общем, нужно поднять ИМХО вопросы:
1) Биллинг (тарификация и резка, ограничение траффика для юзеров)
2) Шаблоны безопасности
3) Дополнительные примочки к WR
4) Список прог, которые ни при каких условиях не хотят работать с WR
5) Оптимальное (цена/качество) железо под WR
И наверное надо бы голосование для тех кто пользуется WR и какое о нем впечатление, а то многие из моих знакомых "смотрят" на TrafficInspector