Может ктото сталвикался - нужно на смузволл поставть небольшой фтп сервер. Как это сделать?
» Настройка SmoothWall
И еще одно, никак не погу настроить БАТ чтоб он работал через смузволл, ни одна почтовая программа не хочет конектится,
Кто может чемто помочь? Порты 110 и 25 вроде как открыты
Кто может чемто помочь? Порты 110 и 25 вроде как открыты
Red_imp
Зачем НА проксе с фаэрволом ставить ФТП или торрент?? Это, грубо говоря, тоже самое что снять замки с входной двери и думать что никто кроме тебя в квартиру не зайдёт
Если надо ФТП сделай любой комп в своей сети выделенным ФТП сервером и пробрось 21 порт в "firewall control" на его ИП. А ещё лучше, например если ФТП надо постоянный, поставить 3-ю сетевую карту в смутвалл и настрой Green + Orange + Red сеть, где на Orange будет подключаться выделенный комп с ФТП.
По поводу почты: Networking - outgoing - Add exception: Application or service(s): Email and News
летучая мышка и оутлук экспресс будут работать без дополнительных настроек.
Зачем НА проксе с фаэрволом ставить ФТП или торрент?? Это, грубо говоря, тоже самое что снять замки с входной двери и думать что никто кроме тебя в квартиру не зайдёт
Если надо ФТП сделай любой комп в своей сети выделенным ФТП сервером и пробрось 21 порт в "firewall control" на его ИП. А ещё лучше, например если ФТП надо постоянный, поставить 3-ю сетевую карту в смутвалл и настрой Green + Orange + Red сеть, где на Orange будет подключаться выделенный комп с ФТП. По поводу почты: Networking - outgoing - Add exception: Application or service(s): Email and News
летучая мышка и оутлук экспресс будут работать без дополнительных настроек.
Cпасибо. Понял ))
Бат настроил вот только не могу отправлять почту, кажется что 25 порт закрыт (телнетом не присоединяется), а в outgoing добавил ее как исключение 25 порт
Бат настроил вот только не могу отправлять почту, кажется что 25 порт закрыт (телнетом не присоединяется), а в outgoing добавил ее как исключение 25 порт
Как настроен интерфейс в outgoing ?
Interface defaults:
Traffic originating on GREEN is: Allowed with exceptions или Blocked with exceptions
если Allowed - то разрешено всё кроме заданных правил
если Blocked - то запрещено всё кроме заданных правил
правила ты задаёш в Add exception
Значит если ты хочешь закрыть все порты на выход и разрешить только нужные то должно быть Blocked with exceptions (сохранить кнопкой "Save" ), потом в Application or service(s): выбрать Email and News и нажать "Add". Чтоб не вписывать каждый порт в ручную Email and News открывает все нужные порты для почты.
у меня так:
Interface defaults:
Traffic originating on GREEN is: Allowed with exceptions или Blocked with exceptions
если Allowed - то разрешено всё кроме заданных правил
если Blocked - то запрещено всё кроме заданных правил
правила ты задаёш в Add exception
Значит если ты хочешь закрыть все порты на выход и разрешить только нужные то должно быть Blocked with exceptions (сохранить кнопкой "Save"
), потом в Application or service(s): выбрать Email and News и нажать "Add". Чтоб не вписывать каждый порт в ручную Email and News открывает все нужные порты для почты. у меня так:
Red_imp
Цитата:
Если очень хочеться - то можно :-;
На англ. форуме SW было описание, как это сделать.
Running an FTP server on a Smoothie Box (http://community.smoothwall.org/forum/viewtopic.php?f=16&t=9786&hilit=vsftpd&start=15)
DZOTik
Цитата:
В теории вы конечно правы, но на практике все зависит от кривизны рук!
Опишите как ВЫ взломали SW с установленным FTP - и я с вами соглашусь!
P.S. Небольшое наблюдение из жизни: чем больше админ говорит "красивых фраз" о безопасности - тем дыряее его собственный файервол (с).
Если что - сори, ничего личного.
Цитата:
Может ктото сталвикался - нужно на смузволл поставть небольшой фтп сервер. Как это сделать?
Если очень хочеться - то можно :-;
На англ. форуме SW было описание, как это сделать.
Running an FTP server on a Smoothie Box (http://community.smoothwall.org/forum/viewtopic.php?f=16&t=9786&hilit=vsftpd&start=15)
DZOTik
Цитата:
Это, грубо говоря, тоже самое что снять замки с входной двери и думать что никто кроме тебя в квартиру не зайдёт
В теории вы конечно правы, но на практике все зависит от кривизны рук!
Опишите как ВЫ взломали SW с установленным FTP - и я с вами соглашусь!
P.S. Небольшое наблюдение из жизни: чем больше админ говорит "красивых фраз" о безопасности - тем дыряее его собственный файервол (с).
Если что - сори, ничего личного.
selebokatwork
По опыту работы (в далёком прошлом) в одной весёлой военной организации, я стараюсь не допускать лишних дыр и лазеек в защите сети, а фтп НА стенке это на мой взгляд прехорошенькая дыра, хотя я ж никому не запрещаю если человеку нада пусть ставит - хоть опыта наберётся 
Цитата:
и здесь я полностью с вами согласен
Цитата:
не ломал так как даже и в мыслях не было ставить фтп НА св.
Цитата:
Тоже соглашусь, хотя мои св (установленные в разных организациях) пока сдерживают непрошеных гостей со всякими сканерами портов в ддос атаками, в чём я премного благодарен разработчикам св, снорта и других полезных модов облегчающих нашу нелёгкую админскую жизнь
.
По опыту работы (в далёком прошлом) в одной весёлой военной организации, я стараюсь не допускать лишних дыр и лазеек в защите сети, а фтп НА стенке это на мой взгляд прехорошенькая дыра
, хотя я ж никому не запрещаю если человеку нада пусть ставит - хоть опыта наберётся Цитата:
все зависит от кривизны рук!
и здесь я полностью с вами согласен
Цитата:
Опишите как ВЫ взломали SW с установленным FTP
не ломал так как даже и в мыслях не было ставить фтп НА св.
Цитата:
P.S. Небольшое наблюдение из жизни: чем больше админ говорит "красивых фраз" о безопасности - тем дыряее его собственный файервол (с).
Тоже соглашусь, хотя мои св (установленные в разных организациях) пока сдерживают непрошеных гостей со всякими сканерами портов в ддос атаками, в чём я премного благодарен разработчикам св, снорта и других полезных модов облегчающих нашу нелёгкую админскую жизнь
.Здравствуйте. Кто нибудь знает чем может быть вызвана ошибка: "Source IP/MAC can not be a gateway IP" ? Подскажите пожалуйста как поправить или где искать?
http://community.smoothwall.org/forum/viewtopic.php?f=56&t=34170&p=272177#p272177
http://community.smoothwall.org/forum/viewtopic.php?f=56&t=34170&p=272177#p272177
dbelokursky
Ошибка заключается в том, что в поле "Originating Source IP/Network or MAC" введён IP внешнего интерфейса. Если на 192.168.1.11 установлен Веб-сервер то тогда в поле "Originating Source IP/Network or MAC" вводить ничего не нада - то есть разрешить доступ с любого адреса. Если нада разрешить доступ только определённому IP, например из домашнего пк заходить на пк на работе, тогда вводим ИП домашнего пк.
Например пробросить порт 14204 (для торрент клиента) с внешнего интерфейса (IP не вводим) на комп 192.168.0.239. Source IP/MAC - Any - означает переводить обращение по данному порту с любого IP.
Ошибка заключается в том, что в поле "Originating Source IP/Network or MAC" введён IP внешнего интерфейса. Если на 192.168.1.11 установлен Веб-сервер то тогда в поле "Originating Source IP/Network or MAC" вводить ничего не нада - то есть разрешить доступ с любого адреса. Если нада разрешить доступ только определённому IP, например из домашнего пк заходить на пк на работе, тогда вводим ИП домашнего пк.
Например пробросить порт 14204 (для торрент клиента) с внешнего интерфейса (IP не вводим) на комп 192.168.0.239. Source IP/MAC - Any - означает переводить обращение по данному порту с любого IP.
DZOTik, спасибо за ответ. На 192.168.1.11(win server) установлен вэб сервер. В кратце опишу ситуацию. Локальная сеть 2 сервера. Через первый(smoothwall) раздается интернет на втором(win server) бежит приложение, которое должно быть доступно из интернета. Посылается запрос вида http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. xx.xx.105.6 – статистический адрес сервера с smoothwall, на нем настроен форвардинг с 8080 на 80 win сервера. Суть проблемы в том что из локальной сети не дает зайти на http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB, из интернета все работает и работает если изменить адрес http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB.
Добавлено:
Цитата:
[q][/q]
С правилом такого вида http://img443.imageshack.us/img443/3687/86427300.png к сожалению из локалки не пускает.
Добавлено:
Цитата:
dbelokursky
Например пробросить порт 14204 (для торрент клиента) с внешнего интерфейса (IP не вводим) на комп 192.168.0.239. Source IP/MAC - Any - означает переводить обращение по данному порту с любого IP.
[q][/q]
С правилом такого вида http://img443.imageshack.us/img443/3687/86427300.png к сожалению из локалки не пускает.
dbelokursky
Попробуй добавить правило с Originating Source Interface: Green - New Destination Interface: Green - 192.168.1.11, но тогда возможно придётся использовать другой порт для доступа к вэб-серверу (что то типа 8088 и т.д.) иначе все запросы из локалки на порт 8080 будут переадресованы на 192.168.1.11.
Но возможно лучшим вариантом было бы поставить 3-ю сетевую карту в смутвалл и настроить Green + Orange + Red сеть где на Orange будет подключён вэб-сервер.
Попробуй добавить правило с Originating Source Interface: Green - New Destination Interface: Green - 192.168.1.11, но тогда возможно придётся использовать другой порт для доступа к вэб-серверу (что то типа 8088 и т.д.) иначе все запросы из локалки на порт 8080 будут переадресованы на 192.168.1.11.
Но возможно лучшим вариантом было бы поставить 3-ю сетевую карту в смутвалл и настроить Green + Orange + Red сеть где на Orange будет подключён вэб-сервер.
Цитата:
Попробуй добавить правило с Originating Source Interface: Green - New Destination Interface: Green - 192.168.1.11, но тогда возможно придётся использовать другой порт для доступа к вэб-серверу (что то типа 8088 и т.д.) иначе все запросы из локалки на порт 8080 будут переадресованы на 192.168.1.11.
C таким http://img204.imageshack.us/img204/6374/rule.png правилом тоже не работает.
Цитата:
Но возможно лучшим вариантом было бы поставить 3-ю сетевую карту в смутвалл и настроить Green + Orange + Red сеть где на Orange будет подключён вэб-сервер.Согласен, но оно как то работало с двумя сетевыми карточками. Может быть еще какие нибудь варианты есть?
Добавлено:
Может можно разрешить Source IP/MAC = gateway IP?
dbelokursky
Сори выше я немного бредовую мысль высказал насчёт Green-Green - у тебя и так на http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. доступ есть.
Если из локалки на вэб-сервер http://xx.xx.105.6 (без порта 8080) доступ есть? Если да то вероятнее всего у тебя в закладке в "outgoing" не разрешён порт 8080 для Green.
Сори выше я немного бредовую мысль высказал насчёт Green-Green - у тебя и так на http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. доступ есть.
Если из локалки на вэб-сервер http://xx.xx.105.6 (без порта 8080) доступ есть? Если да то вероятнее всего у тебя в закладке в "outgoing" не разрешён порт 8080 для Green.
Цитата:
Сори выше я немного бредовую мысль высказал насчёт Green-Green - у тебя и так на http://192.168.1.11/cgi-bin/../Search1.exe?C21COM=Enter&I21DB. доступ есть.
Для меня любая свежая идея полезна. Так что спасибо в любом случае.
Цитата:
Если из локалки на вэб-сервер http://xx.xx.105.6 (без порта 8080) доступ есть? Если да то вероятнее всего у тебя в закладке в "outgoing" не разрешён порт 8080 для Green.
8080 точно открыть. Без 8080 выдает http://img405.imageshack.us/img405/4128/proxyo.png
dbelokursky
Ммммммм........
добавь тоже самое для UDP протокола.
Попробуй добавить в "firewall control" ещё такие же правила только для порта 8888 (например) и добавить разрешение для этого порта в закладку "outgoing", и зайти из локалки на http://xx.xx.105.6:8888/cgi-bin/../Search1.exe?C21COM=Enter&I21DB
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
Ммммммм........
добавь тоже самое для UDP протокола.
Попробуй добавить в "firewall control" ещё такие же правила только для порта 8888 (например) и добавить разрешение для этого порта в закладку "outgoing", и зайти из локалки на http://xx.xx.105.6:8888/cgi-bin/../Search1.exe?C21COM=Enter&I21DB
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
добавь тоже самое для UDP протокола.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
<img src="http://img225.imageshack.us/img225/5880/31700146.png">
<img src="http://img697.imageshack.us/img697/2161/13498913.png">
А может дело в Advanced Proxy <a href="http://www.advproxy.net/">Advanced Proxy</a></p> я уже на него косо смотрю.
Добавлено:
Что то я с тагами на мудрил
добавь тоже самое для UDP протокола.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
А может дело в Advanced Proxy http://www.advproxy.net/ я уже на него косо смотрю.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
<img src="http://img225.imageshack.us/img225/5880/31700146.png">
<img src="http://img697.imageshack.us/img697/2161/13498913.png">
А может дело в Advanced Proxy <a href="http://www.advproxy.net/">Advanced Proxy</a></p> я уже на него косо смотрю.
Добавлено:
Что то я с тагами на мудрил
добавь тоже самое для UDP протокола.
Добавил все равно не пускает.
Ещё покажи что у тебя высвечивает браузер при обращении к http://xx.xx.105.6:8080/cgi-bin/../Search1.exe?C21COM=Enter&I21DB из локалки.
А может дело в Advanced Proxy http://www.advproxy.net/ я уже на него косо смотрю.
DZOTik
Те что то такое должно получится iptables -t nat -A POSTROUTING -p tcp --dst xx.xx.105.6 --dport 8080 -j SNAT \ --to-source 192.168.1.11
Спс. Ушел пробовать.
Те что то такое должно получится iptables -t nat -A POSTROUTING -p tcp --dst xx.xx.105.6 --dport 8080 -j SNAT \ --to-source 192.168.1.11
Спс. Ушел пробовать.
День добый. Вопрос к знатокам.
Торрент через прокси, как настроить? Возможно ли ?
Есть задача раздавать интернет на две подсети и ограничивать некоторым компам скорость. Поставил smoothwall 3.0, на него моды Advanced Proxy и Timed Outgoing Firewall Control. Инет раздаю через прокси так как там можно ограничить скорость всем разрешенным IP кроме зданного списка IP-адресов. Все хорошо работает, кроме торрентов, тоесть торрент через проксю не качает, хотя количество сидов utorrent показывает. Eсли же в компе пользователя прописать шлюз и днс сервер smoothwall_а, и убрать настройку прокси то utorrent качает. Оставил бы раздачу интернета через шлюз, но так и не нашел как ограничивать скорость отдельным компьютерам. Раньше инет раздавал через Win2k+3proxy проблем с торрентами не было, но надо перехдить на что нибудь бесплатное.
Торрент через прокси, как настроить? Возможно ли ?
Есть задача раздавать интернет на две подсети и ограничивать некоторым компам скорость. Поставил smoothwall 3.0, на него моды Advanced Proxy и Timed Outgoing Firewall Control. Инет раздаю через прокси так как там можно ограничить скорость всем разрешенным IP кроме зданного списка IP-адресов. Все хорошо работает, кроме торрентов, тоесть торрент через проксю не качает, хотя количество сидов utorrent показывает. Eсли же в компе пользователя прописать шлюз и днс сервер smoothwall_а, и убрать настройку прокси то utorrent качает. Оставил бы раздачу интернета через шлюз, но так и не нашел как ограничивать скорость отдельным компьютерам. Раньше инет раздавал через Win2k+3proxy проблем с торрентами не было, но надо перехдить на что нибудь бесплатное.
dbelokursky
Всегда пожалуйста
crep
Немного выше я давал пример как проборсить порт для торрент клиента. В utorrent настройки проскси можно не прописывать достаточно для каждого компа задать свой уникальный порт прописать его в utorrent: Настройки - Соединение - Порт входящих соединений " " (Новый порт при запуске - галку снять!) и сделать проброс этого порта на IP компа с торрент клиентом. Если на проксе используется DHCP то добавить ассоциацию IP адресов MAC адресам компов с utorrent в " Services - dhcp - Add a new static assignment:"
Про ограничение скорости я тоже писал где то на предыдущих страницах или можно почитать в документации к Advanced Proxy раздел "4.9.1 Bandwidth limits".
Всегда пожалуйста
crep
Немного выше я давал пример как проборсить порт для торрент клиента. В utorrent настройки проскси можно не прописывать достаточно для каждого компа задать свой уникальный порт прописать его в utorrent: Настройки - Соединение - Порт входящих соединений " " (Новый порт при запуске - галку снять!) и сделать проброс этого порта на IP компа с торрент клиентом. Если на проксе используется DHCP то добавить ассоциацию IP адресов MAC адресам компов с utorrent в " Services - dhcp - Add a new static assignment:"
Про ограничение скорости я тоже писал где то на предыдущих страницах или можно почитать в документации к Advanced Proxy раздел "4.9.1 Bandwidth limits".
DZOTik
ты наверное не понял, мне нужно чтоб торрент качал только через прокси, потому что там есть возможность ограничивать скорость как мне надо. А проброс портов, я так понимаю, идет мимо сервиса прокси и поэтому настройки ограничения скорости Proxy на него не подействуют.
ты наверное не понял, мне нужно чтоб торрент качал только через прокси, потому что там есть возможность ограничивать скорость как мне надо. А проброс портов, я так понимаю, идет мимо сервиса прокси и поэтому настройки ограничения скорости Proxy на него не подействуют.
crep
Скорее всего в Smoothwall нет ограничения скорости по конкретному порту, хотя могу ошибаться так как не вникал в этот вопрос. А чем плох ограничитель скорости в utorrente: Настройки - Конфигурация - Скорость?
Скорее всего в Smoothwall нет ограничения скорости по конкретному порту, хотя могу ошибаться так как не вникал в этот вопрос. А чем плох ограничитель скорости в utorrente: Настройки - Конфигурация - Скорость?
Можно в QoS приоритет задать для p2p
Мне надо некоторым пользователям интернет раздавать с большой скоростью, а некоторым c маленькой , причем обе группы пользуют торрент. В advanced proxy есть поле Unrestricted IP addresses где можно задать IP компов с неограниченной скоростью. QOS режет скорость всем , он мне не подходит и в utorrente смысла нет выставлять , уйдеш и юзеры все вернут назад, поэтому то и интересно как запустить торрент только через проксю.
Тогда все прекрастно настраивается в advanced proxy.
Цитата:
Задаем IP которым резать скорость не нужно. В Download throttling ограничиваем скорость всем остальным. И делаем его Transparent on Green.
Цитата:
В advanced proxy есть поле Unrestricted IP addresses где можно задать IP компов с неограниченной скоростью.
Задаем IP которым резать скорость не нужно. В Download throttling ограничиваем скорость всем остальным. И делаем его Transparent on Green.
dbelokursky
Спасибо за идею, но это не для торрентов. Transparent mode заворачивает на прокси только то что идет на 80 порт, а остальное идет мимо, о чем написано в мануале к advanced proxy
If the transparent mode is enabled, all requests for the destination port 80 will be forwarded to the Proxy Server without the need of any special configuration changes to your clients.
Note: Transparent mode works only for destination port 80. All other requests (e.g. port 443 for SSL) will bypass the Proxy Server.
Да и сам в этом убедился, Reget качает с той скоростью что выставлена в advanced proxy,а торент по максимуму.
Спасибо за идею, но это не для торрентов. Transparent mode заворачивает на прокси только то что идет на 80 порт, а остальное идет мимо, о чем написано в мануале к advanced proxy
If the transparent mode is enabled, all requests for the destination port 80 will be forwarded to the Proxy Server without the need of any special configuration changes to your clients.
Note: Transparent mode works only for destination port 80. All other requests (e.g. port 443 for SSL) will bypass the Proxy Server.
Да и сам в этом убедился, Reget качает с той скоростью что выставлена в advanced proxy,а торент по максимуму.
2 crep
Если Вы хотите использовать версию 3.х то для неё еще не написали шейпера. На 2.0 есть так называемый QoS_NG (он подходит как для Медведя так и для АйПикопа).
Для этой цели я пользуюсь АйПикопом + QoS_NG.
QoS_NG шейпит весь трафик. Будь-то игры, торрент, почта, и т.п. При этом он управляет очередью пакетов, уменьшая при этом число потерянных пакетов.
Если погуглить то всю инфу найдете, будут вопроса по поводу установки и настройки кидайте мне в ЛС отвечу.
P.S. Серверу уже два года (Cyrix 233/192 MB/4 GB), обеспечивает 20 Мбит
Если Вы хотите использовать версию 3.х то для неё еще не написали шейпера. На 2.0 есть так называемый QoS_NG (он подходит как для Медведя так и для АйПикопа).
Для этой цели я пользуюсь АйПикопом + QoS_NG.
QoS_NG шейпит весь трафик. Будь-то игры, торрент, почта, и т.п. При этом он управляет очередью пакетов, уменьшая при этом число потерянных пакетов.
Если погуглить то всю инфу найдете, будут вопроса по поводу установки и настройки кидайте мне в ЛС отвечу.
P.S. Серверу уже два года (Cyrix 233/192 MB/4 GB), обеспечивает 20 Мбит
DZOTik
Большое спасибо я починился.
В моем случае нужно было добавить правило.
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT \
--to-source 192.168.1.200
В синтаксисе не успел до конца разобраться.
Что значит слеш обратный? \
Большое спасибо я починился.
В моем случае нужно было добавить правило.
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT \
--to-source 192.168.1.200
В синтаксисе не успел до конца разобраться.
Что значит слеш обратный? \
Shadow_of_Time
А можно ли в этой связке "АйПикоп + QoS_NG" настроить скорость по каждому IP, или хотя бы по группам IP адресов ?
А можно ли в этой связке "АйПикоп + QoS_NG" настроить скорость по каждому IP, или хотя бы по группам IP адресов ?
Предыдущая тема: ЛВС между зданиями
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.