Vich
1. Логин в WinRoute, не совпадает с логином заведённым на компьютере пользователя.

2. Попробую, сделать правило в "Прокси-сервер --> Доступ", для пользователя Everyone (все):
* -- *для Everyone -- запретить.
* -- *для пользователей *WinRoute -- разрешить.

3. На всех компьютерах, кроме переустановленного, пользователи имеют права администраторов, что, мне не очень нравится, и, с этим в ближайшем будующем планирую бороться (подрабатываю не давно, наскоками, наездами, по вечерам).
На переустановленном пользователь - Продвинутый пользователь.
Скорей всего в этом, и кроется причина. Нашёл в документации по WinRoute:
У каждого запрещенного URL есть ассоциированный с ним список пользователей и групп, имеющих доступ к этому URL. Для получения доступа они должны вводить имя и пароль по подсказке браузера.
Примечание: запрещенные URL'ы всегда открыты для доступа членам группы Администраторов.
Буду пробовать.

пакеты на шлюз даже не отправляются-только на мой dns-адрес,

В смысле на мой dns-сервер,он же контроллер домена.

М...А нет еще rtfm?
Где можно посмотреть?

Исправлено: fzzz, 9:24 22-04-2004

Доброго всем дня (вечера, ночи)

Скажите пожалуйста, возможно ли такое, что через подключенный через сервак с WinRout(ом) компьютер "пройти" на ftp,  а то почта, аська работает, а при попытке прогуляться на фтпишник пишет "невозможно произвести подключение" :(

Всем удачи!

ну размер закачки вообще не проблема. достаточно правильно ису настроить или поставить на сервер Outpost firewall, он будет блочить пакеты больше опр. размера

Почта работает черес порты 25 и 110, аська не помню через какой. FTP работает через порт 21. Вывод: порт заблокирован. Закрыт на проксике или фаетволом. Нужно открыть.

AndrS
включи у клиента пассивный режим ftp

Спасибо всем!
через какие порты что работает я в курсе, а вот порт 21 спецом открыл, правда в ВинРоуте нет такого FTP поэтому открыл для TCP не знаю правильно это или нет :(

УважаемыйVich
я не обнаружил в ТоталКоммандоре такой опции :(

СПАСИБО ВСЕМ!!!

Сорри, был не внимателен...
Есть там тема про пассивный режим, только результат не утешительный :(
НЕ ИДЕТ ЗАРАЗА пишет  "Сервер не найден" (обращаюсь к 100% рабочему серваку...

AndrS
в WinRoute'e есть среди Services - порт. так и называется - FTP.
пишет  "Сервер не найден" (обращаюсь к 100% рабочему серваку...
а пинги до него идут?

Vich
Дело в том, что через броузер есть коннект с серверу.

Скажи пожалуйста, а где именно там такой порт
У меня русская прога и поэтому я не совсем понял где именно это искать.


СПАСИБО!

раздел, где группы адресов и временных диапазонов. там же есть пункт - сервисы. внутри порт 21 (лучше ищи по номеру..)
кстати, дополнительно к WinRoute'у не стоит часом еще один фаервол?

AndrS
А winroute у тебя как проксик работает или ты через nat юзаешь? У меня лично через проксик не получалось. Пришлось nat поднимать.

Vich
Ты уж прости мою тупость, но в упор я "сервисы" не нашел там :(
www.andrs.nm.ru/images/winroute.gif
К ВинРоуту больше фаерволов нет так что...

Negativ
как прокси
а что есть NAT вернее как его настроить и какие плюсы-минусы есть при том и том варианте (кратенько, если не сложно)

AndrS
Думаю тебе нужно почитать документацию по Winroute. Возьми здесь (http://porosenok.narod.ru/download/wrp/wr41ru-doc.zip). Там все подробно описано.

Negativ
Спасибо!
почитал, но так и не смог решить проблему с FTP :(
А про NAT я просто не понял.
как-то там все завернуто, а вот сути не понял!!!

суть в подмене внутренних адресов локальной сети на внешний(ие) для всех клиентов, но прозрачно для них... т.е. получается прозрачный прокси какбы

Работаем с @Klassika (http://www.media.classics.ru/).
Настройка собственно соединения хорошо описана у HeliosNet (http://ipdvb.stsland.ru/customer/pptp_xp.shtml).
У них есть и пример настройки WinRoute 4.x. (http://ipdvb.stsland.ru/customer/winroute.shtml)

Теперь о ситуации:
WinXP. В работе участвуют 3 interface: BroadbandReceiver(карточка, общающаяся с со спутниковой антенной), который Wizard KWF выбирать почему-то не дает(руками-то я его вставлю) Dial-up Modem, который сначала коннектится к наземному прову, а затем коннектимся к серверу VPN провайдера СКД

Мне удалось в KWF5 разрешить подключение к VPN(в лоб: разрешил адреса провайдера) после успешного подключения к наземному dial-up провайдеру.
НО
Трафик блокируется.
Мне известна причина блокировки - срабатывает Anti-Spoofing на интерфейс BroadBand Receiver. *Отключение Anti-Spoofing - *освобождает трафик. Но так я, кажется, теряю всю защиту от этого класса атак.

Вопрос: как настроить возможность прохождения трафика с тарелки ко мне в обход Anti-Spoofing только для данного интерфейса и предотвратить спуффинг со стороны агрессора?

Приятно будет видеть сценарий корректной настройки с иным подходом(можeт быть, грамотный routing), т.е. "как это было" от тех, кто успешно использует СКД в своих LAN.

Для начала можно попробовать "поднять" трафик только для машины с KWF, если это удастся, поговорим и о раздаче Internet в LAN.

Vich
А на примерах нельзя пояснить что и как!!!!!

Есть локальная сеть из восьми компьютеров (W2k, XP), созданная на основе рабочей группы. На одном компьютере (W2k sp4, P530 Mz, 256 Mb), решил сделать шлюз. В нём две сетевых карточки.
Одна со статическим адресом 192.168.ААА.ААА, смотрит в локальную сеть, предпочитаемый DNS-сервер 192.168.ААА.ААА (ретранслирую DNS запросы).
Это интерфейс А.

Вторая со статическим адресом 192.168.ВВВ.ВВВ (до меня, он раздавался динамически, но с помощью утилиты ipconfig /all, я понаблюдал, что этот адрес не меняется и задал его статически), смотрит, думаю на маршрутизатор, комутатор или другой компьютер расположеный в этом здании. Короче смотрит в сторону провайдера. Предпочитаемый DNS-сервер, (раздавался динамически, прописал статически) 81.20.ВВВ.ВВВ. IP-адрес шлюза 192.168.ВВВ.ВВ1 .
Это интерфейс В.
<<витая пара к провайдеру (В)>>_192.168.ВВВ.ВВВ_||шлюз||_192.168.ААА.ААА_<<витая пара в локальную сеть (А)>>

Через это соединение (интерфейс В) проложен VPN тунель к провайдеру. IP-адреса задаются динамически, в диапазоне 81.20.ССС.1-254 (IP-адрес и IP-адрес шлюза). В WinRoute создал группу адресов -- "81.20.ССС". IP-адрес DNS-cервера 81.20.ССС.ССС.
Это интерфейс С.

В общем получается в контролёре удалённого доступа три сетевых интерфейса (физических два -- А и В).
____________________________________________
Установил программный маршрутизатор Kerio WinRoute v.4.2.5.
Включил ретрансляцию DNS (ретранслировать 81.20.ССС.ССС), в "Таблице интерфейсов" -- преобразовыть IP-адрес для *VPN интерфейса (NAT). В "Пакетном фильтре", правил, *практически нет, пока, нет. Включил прокси-сервер. Порт 3128.
Завёл пользователей. *Аутентификацию пользователей средствами Windows не делал. У пользователей имена написаны кириллицей, плюс пароль.
У пользователей, в настройках TCP/IP, в качестве шлюза и DNS-сервера стоит 192.168.ААА.ААА. В IE, в Opere, в настройках прокси сервера, HTTP, HTTPS -- 192.168.ААА.ААА:3128.
_____________________________________________
Теперь проблема. За месяц пришёл внушительный счёт, провайдер кричит, что это может быть из-за вирусов. Вирусы, которые были, я удалил (сеть досталась по наследству).
1.Вопрос такой, преобразую адреса, я с VPN соединения, пакеты проходят на интерфейс А. Могут ли пакеты проходить на интерфейс В, т.е. ещё кто-то в сети 192.168.ВВВ.1-254 может ли, "кушать" трафик нахаляву?

2.Если, да, то какие правила необходимо создать в пакетном фильтре для интерфейса В?
Пока стоят такие:
Входящие:
TCP_любой адрес_любой порт-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_группа адресов"81.20.ССС"_1723-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
UDP_любой адрес_53-->>>любой адрес_53 *разрешить;
UDP_любой адрес_53-->>>любой адрес_более 1023 *разрешить;
UDP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
ICMP -- запретить.

1723 -- с этим портом работает протокол PPTP.
Помогите настроить правильно пакетный фильтр.
Читал, что протокол PPTP инкапсулирует пакеты протокола PPP в IP протокол...
Честно говоря не совсем понимаю как работает PPTP протокол, если есть, у кого ссылки по данному протоколу -- поделитесь.




Исправлено: Hemp, 7:20 18-05-2004

Привет, незнакомый дружище!
Помоги советом, пожалуйста!
Есть сетка MS из 15 компьютеров, 7 из них имеют доступ в Инет через отдельный узел
(Win98, две сетевухи Compex(на DSL) и D-Link(в локальную сеть), WinRoute 4.2.1 rus, DSL Zyxel645, выделенка 512к). Всё работает, но есть две язвы, которые мешают мне спокойно работать:
1. Не могу ни у кого узнать - как настроить фильтрацию пакетов WinRoute, т.е. у меня на данный момент "правил фильтрации нет".
2. Неправильно считается трафик при закачке по ftp. Например, скачиватся файл 2 мб
при помощи Reget, тот разбивает эти 2 мб на пять частей и КАЖДАЯ часть файла в итоге и меет размер ЦЕЛОГО ФАЙЛА 2МВ. Поэтому трафик растет как на дрожжах.
Посоветуй, что с этим делать?

С уважением, нарушение@правил (http://forum.oszone.net/rules.html).ru


Исправлено: Vich, 12:05 17-05-2004