Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка SmoothWall

Автор: Red_imp
Дата сообщения: 03.02.2010 12:59
Может ктото сталвикался - нужно на смузволл поставть небольшой фтп сервер. Как это сделать?
Автор: Red_imp
Дата сообщения: 10.02.2010 13:09
И еще одно, никак не погу настроить БАТ чтоб он работал через смузволл, ни одна почтовая программа не хочет конектится,
Кто может чемто помочь? Порты 110 и 25 вроде как открыты
Автор: DZOTik
Дата сообщения: 11.02.2010 13:08
Red_imp
Зачем НА проксе с фаэрволом ставить ФТП или торрент?? Это, грубо говоря, тоже самое что снять замки с входной двери и думать что никто кроме тебя в квартиру не зайдёт Если надо ФТП сделай любой комп в своей сети выделенным ФТП сервером и пробрось 21 порт в "firewall control" на его ИП. А ещё лучше, например если ФТП надо постоянный, поставить 3-ю сетевую карту в смутвалл и настрой Green + Orange + Red сеть, где на Orange будет подключаться выделенный комп с ФТП.
По поводу почты: Networking - outgoing - Add exception: Application or service(s): Email and News
летучая мышка и оутлук экспресс будут работать без дополнительных настроек.
Автор: Red_imp
Дата сообщения: 11.02.2010 14:05
Cпасибо. Понял ))

Бат настроил вот только не могу отправлять почту, кажется что 25 порт закрыт (телнетом не присоединяется), а в outgoing добавил ее как исключение 25 порт
Автор: DZOTik
Дата сообщения: 11.02.2010 16:25
Как настроен интерфейс в outgoing ?
Interface defaults:
Traffic originating on GREEN is: Allowed with exceptions или Blocked with exceptions
если Allowed - то разрешено всё кроме заданных правил
если Blocked - то запрещено всё кроме заданных правил
правила ты задаёш в Add exception
Значит если ты хочешь закрыть все порты на выход и разрешить только нужные то должно быть Blocked with exceptions (сохранить кнопкой "Save" ), потом в Application or service(s): выбрать Email and News и нажать "Add". Чтоб не вписывать каждый порт в ручную Email and News открывает все нужные порты для почты.

у меня так:
Автор: selebokatwork
Дата сообщения: 08.03.2010 10:27
Red_imp

Цитата:
Может ктото сталвикался - нужно на смузволл поставть небольшой фтп сервер. Как это сделать?

Если очень хочеться - то можно :-;
На англ. форуме SW было описание, как это сделать.
Running an FTP server on a Smoothie Box (http://community.smoothwall.org/forum/viewtopic.php?f=16&t=9786&hilit=vsftpd&start=15)

DZOTik

Цитата:
Это, грубо говоря, тоже самое что снять замки с входной двери и думать что никто кроме тебя в квартиру не зайдёт

В теории вы конечно правы, но на практике все зависит от кривизны рук!
Опишите как ВЫ взломали SW с установленным FTP - и я с вами соглашусь!

P.S. Небольшое наблюдение из жизни: чем больше админ говорит "красивых фраз" о безопасности - тем дыряее его собственный файервол (с).
Если что - сори, ничего личного.
Автор: DZOTik
Дата сообщения: 09.03.2010 12:00
selebokatwork
По опыту работы (в далёком прошлом) в одной весёлой военной организации, я стараюсь не допускать лишних дыр и лазеек в защите сети, а фтп НА стенке это на мой взгляд прехорошенькая дыра , хотя я ж никому не запрещаю если человеку нада пусть ставит - хоть опыта наберётся

Цитата:
все зависит от кривизны рук!

и здесь я полностью с вами согласен

Цитата:
Опишите как ВЫ взломали SW с установленным FTP

не ломал так как даже и в мыслях не было ставить фтп НА св.

Цитата:
P.S. Небольшое наблюдение из жизни: чем больше админ говорит "красивых фраз" о безопасности - тем дыряее его собственный файервол (с).

Тоже соглашусь, хотя мои св (установленные в разных организациях) пока сдерживают непрошеных гостей со всякими сканерами портов в ддос атаками, в чём я премного благодарен разработчикам св, снорта и других полезных модов облегчающих нашу нелёгкую админскую жизнь .
Автор: dbelokursky
Дата сообщения: 17.03.2010 11:51
Здравствуйте. Кто нибудь знает чем может быть вызвана ошибка: "Source IP/MAC can not be a gateway IP" ? Подскажите пожалуйста как поправить или где искать?
http://community.smoothwall.org/forum/viewtopic.php?f=56&t=34170&p=272177#p272177
Автор: DZOTik
Дата сообщения: 17.03.2010 21:36
dbelokursky
Ошибка заключается в том, что в поле "Originating Source IP/Network or MAC" введён IP внешнего интерфейса. Если на 192.168.1.11 установлен Веб-сервер то тогда в поле "Originating Source IP/Network or MAC" вводить ничего не нада - то есть разрешить доступ с любого адреса. Если нада разрешить доступ только определённому IP, например из домашнего пк заходить на пк на работе, тогда вводим ИП домашнего пк.


Например пробросить порт 14204 (для торрент клиента) с внешнего интерфейса (IP не вводим) на комп 192.168.0.239. Source IP/MAC - Any - означает переводить обращение по данному порту с любого IP.
Автор: dbelokursky
Дата сообщения: 17.03.2010 22:06
DZOTik, спасибо за ответ. На 192.168.1.11(win server) установлен вэб сервер. В кратце опишу ситуацию. Локальная сеть 2 сервера. Через первый(smoothwall) раздается интернет на втором(win server) бежит приложение, которое должно быть доступно из интернета. Посылается запрос вида http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. xx.xx.105.6 – статистический адрес сервера с smoothwall, на нем настроен форвардинг с 8080 на 80 win сервера. Суть проблемы в том что из локальной сети не дает зайти на http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB, из интернета все работает и работает если изменить адрес http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB.

Добавлено:

Цитата:
dbelokursky
 
Например пробросить порт 14204 (для торрент клиента) с внешнего интерфейса (IP не вводим) на комп 192.168.0.239. Source IP/MAC - Any - означает переводить обращение по данному порту с любого IP.

[q][/q]
С правилом такого вида http://img443.imageshack.us/img443/3687/86427300.png к сожалению из локалки не пускает.
Автор: DZOTik
Дата сообщения: 17.03.2010 22:58
dbelokursky
Попробуй добавить правило с Originating Source Interface: Green - New Destination Interface: Green - 192.168.1.11, но тогда возможно придётся использовать другой порт для доступа к вэб-серверу (что то типа 8088 и т.д.) иначе все запросы из локалки на порт 8080 будут переадресованы на 192.168.1.11.
Но возможно лучшим вариантом было бы поставить 3-ю сетевую карту в смутвалл и настроить Green + Orange + Red сеть где на Orange будет подключён вэб-сервер.
Автор: dbelokursky
Дата сообщения: 18.03.2010 09:06

Цитата:
Попробуй добавить правило с Originating Source Interface: Green - New Destination Interface: Green - 192.168.1.11, но тогда возможно придётся использовать другой порт для доступа к вэб-серверу (что то типа 8088 и т.д.) иначе все запросы из локалки на порт 8080 будут переадресованы на 192.168.1.11.

C таким http://img204.imageshack.us/img204/6374/rule.png правилом тоже не работает.

Цитата:
Но возможно лучшим вариантом было бы поставить 3-ю сетевую карту в смутвалл и настроить Green + Orange + Red сеть где на Orange будет подключён вэб-сервер.
Согласен, но оно как то работало с двумя сетевыми карточками. Может быть еще какие нибудь варианты есть?


Добавлено:
Может можно разрешить Source IP/MAC = gateway IP?
Автор: DZOTik
Дата сообщения: 18.03.2010 11:38
dbelokursky
Сори выше я немного бредовую мысль высказал насчёт Green-Green - у тебя и так на http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. доступ есть.

Если из локалки на вэб-сервер http://xx.xx.105.6 (без порта 8080) доступ есть? Если да то вероятнее всего у тебя в закладке в "outgoing" не разрешён порт 8080 для Green.
Автор: dbelokursky
Дата сообщения: 18.03.2010 12:15

Цитата:
Сори выше я немного бредовую мысль высказал насчёт Green-Green - у тебя и так на http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. доступ есть.

Для меня любая свежая идея полезна. Так что спасибо в любом случае.

Цитата:
Если из локалки на вэб-сервер http://xx.xx.105.6 (без порта 8080) доступ есть? Если да то вероятнее всего у тебя в закладке в "outgoing" не разрешён порт 8080 для Green.

8080 точно открыть. Без 8080 выдает http://img405.imageshack.us/img405/4128/proxyo.png
Автор: DZOTik
Дата сообщения: 18.03.2010 13:05
dbelokursky
Ммммммм........


добавь тоже самое для UDP протокола.

Попробуй добавить в "firewall control" ещё такие же правила только для порта 8888 (например) и добавить разрешение для этого порта в закладку "outgoing", и зайти из локалки на http://xx.xx.105.6:8888/cgi-bin/../Search1.exe?C21COM=Enter&I21DB

Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
Автор: dbelokursky
Дата сообщения: 18.03.2010 14:03
добавь тоже самое для UDP протокола.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
<img src="http://img225.imageshack.us/img225/5880/31700146.png">
<img src="http://img697.imageshack.us/img697/2161/13498913.png">
А может дело в Advanced Proxy <a href="http://www.advproxy.net/">Advanced Proxy</a></p> я уже на него косо смотрю.

Добавлено:
Что то я с тагами на мудрил

добавь тоже самое для UDP протокола.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.


А может дело в Advanced Proxy http://www.advproxy.net/ я уже на него косо смотрю.
Автор: DZOTik
Дата сообщения: 23.03.2010 13:27
dbelokursky

Действие DNAT думаю должно помочь.
Автор: dbelokursky
Дата сообщения: 24.03.2010 14:46
DZOTik

Те что то такое должно получится iptables -t nat -A POSTROUTING -p tcp --dst xx.xx.105.6 --dport 8080 -j SNAT \ --to-source 192.168.1.11
Спс. Ушел пробовать.
Автор: crep
Дата сообщения: 24.03.2010 21:00
День добый. Вопрос к знатокам.
Торрент через прокси, как настроить? Возможно ли ?
Есть задача раздавать интернет на две подсети и ограничивать некоторым компам скорость. Поставил smoothwall 3.0, на него моды Advanced Proxy и Timed Outgoing Firewall Control. Инет раздаю через прокси так как там можно ограничить скорость всем разрешенным IP кроме зданного списка IP-адресов. Все хорошо работает, кроме торрентов, тоесть торрент через проксю не качает, хотя количество сидов utorrent показывает. Eсли же в компе пользователя прописать шлюз и днс сервер smoothwall_а, и убрать настройку прокси то utorrent качает. Оставил бы раздачу интернета через шлюз, но так и не нашел как ограничивать скорость отдельным компьютерам. Раньше инет раздавал через Win2k+3proxy проблем с торрентами не было, но надо перехдить на что нибудь бесплатное.
Автор: DZOTik
Дата сообщения: 25.03.2010 12:23
dbelokursky
Всегда пожалуйста

crep
Немного выше я давал пример как проборсить порт для торрент клиента. В utorrent настройки проскси можно не прописывать достаточно для каждого компа задать свой уникальный порт прописать его в utorrent: Настройки - Соединение - Порт входящих соединений " " (Новый порт при запуске - галку снять!) и сделать проброс этого порта на IP компа с торрент клиентом. Если на проксе используется DHCP то добавить ассоциацию IP адресов MAC адресам компов с utorrent в " Services - dhcp - Add a new static assignment:"
Про ограничение скорости я тоже писал где то на предыдущих страницах или можно почитать в документации к Advanced Proxy раздел "4.9.1 Bandwidth limits".
Автор: crep
Дата сообщения: 25.03.2010 17:14
DZOTik
ты наверное не понял, мне нужно чтоб торрент качал только через прокси, потому что там есть возможность ограничивать скорость как мне надо. А проброс портов, я так понимаю, идет мимо сервиса прокси и поэтому настройки ограничения скорости Proxy на него не подействуют.
Автор: DZOTik
Дата сообщения: 29.03.2010 11:52
crep
Скорее всего в Smoothwall нет ограничения скорости по конкретному порту, хотя могу ошибаться так как не вникал в этот вопрос. А чем плох ограничитель скорости в utorrente: Настройки - Конфигурация - Скорость?
Автор: dbelokursky
Дата сообщения: 29.03.2010 12:00
Можно в QoS приоритет задать для p2p
Автор: DZOTik
Дата сообщения: 29.03.2010 12:25
Кстати да, чёт я это пропустил HowTo: QOS rules
Автор: crep
Дата сообщения: 29.03.2010 15:58
Мне надо некоторым пользователям интернет раздавать с большой скоростью, а некоторым c маленькой , причем обе группы пользуют торрент. В advanced proxy есть поле Unrestricted IP addresses где можно задать IP компов с неограниченной скоростью. QOS режет скорость всем , он мне не подходит и в utorrente смысла нет выставлять , уйдеш и юзеры все вернут назад, поэтому то и интересно как запустить торрент только через проксю.
Автор: dbelokursky
Дата сообщения: 29.03.2010 20:38
Тогда все прекрастно настраивается в advanced proxy.

Цитата:
В advanced proxy есть поле Unrestricted IP addresses где можно задать IP компов с неограниченной скоростью.

Задаем IP которым резать скорость не нужно. В Download throttling ограничиваем скорость всем остальным. И делаем его Transparent on Green.
Автор: crep
Дата сообщения: 30.03.2010 12:14
dbelokursky
Спасибо за идею, но это не для торрентов. Transparent mode заворачивает на прокси только то что идет на 80 порт, а остальное идет мимо, о чем написано в мануале к advanced proxy

If the transparent mode is enabled, all requests for the destination port 80 will be forwarded to the Proxy Server without the need of any special configuration changes to your clients.

Note: Transparent mode works only for destination port 80. All other requests (e.g. port 443 for SSL) will bypass the Proxy Server.

Да и сам в этом убедился, Reget качает с той скоростью что выставлена в advanced proxy,а торент по максимуму.
Автор: Shadow_of_Time
Дата сообщения: 30.03.2010 14:10
2 crep

Если Вы хотите использовать версию 3.х то для неё еще не написали шейпера. На 2.0 есть так называемый QoS_NG (он подходит как для Медведя так и для АйПикопа).

Для этой цели я пользуюсь АйПикопом + QoS_NG.

QoS_NG шейпит весь трафик. Будь-то игры, торрент, почта, и т.п. При этом он управляет очередью пакетов, уменьшая при этом число потерянных пакетов.

Если погуглить то всю инфу найдете, будут вопроса по поводу установки и настройки кидайте мне в ЛС отвечу.


P.S. Серверу уже два года (Cyrix 233/192 MB/4 GB), обеспечивает 20 Мбит
Автор: dbelokursky
Дата сообщения: 30.03.2010 14:40
DZOTik
Большое спасибо я починился.
В моем случае нужно было добавить правило.
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT \
--to-source 192.168.1.200

В синтаксисе не успел до конца разобраться.
Что значит слеш обратный? \
Автор: crep
Дата сообщения: 30.03.2010 16:11
Shadow_of_Time
А можно ли в этой связке "АйПикоп + QoS_NG" настроить скорость по каждому IP, или хотя бы по группам IP адресов ?

Страницы: 12345678

Предыдущая тема: ЛВС между зданиями


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.