Архив форумов ЦИТФорума

[K-Unker]

Есть сеть под управлением w2k server , развернута Active Directory. В качестве файрвола и прокси-сервера используется WinRoute. Возник следующий вопрос: как запретить юзерам ходить в инет в обход прокси-сервера? (если ходить в обход WinRoute, то он естественно не ведет LOG-файла) Дело в том, что на клиентских компах можно прото-напросто убрать шлюз, тогда вылазки в интернет будут возможны только через прокси. Я так и поступил - поубирал юзерам шлюз, но возникла проблема: перестала ходить почта (пользуюсь Outlook Express). Тоесть почтовик принимает-отправляет почту только при указанном шлюзе. Как это победить?

P.S. Нужные порты (110, 143 и т.д.) у файрвола открыты.

[a-m-d]

Сдается мне, что непра-а-а-вильный у тебя бутерброд был, дядя Фёдор!..

Прямые вылазки в инет перекрывать надо на пограничной машине. А не наличием шлюза по умолчанию на клиенте. Даже если ты запретил клиенту менять настройки сети, он может попытаться вывернуться. Не забудь тогда хотя бы запретить использование команды route add. Мне кажется, что у тебя NAT до сих пор работает и ничто клиенту не мешает, прописАв правильный маршрут, обойти твои прокси Проверь. Лечить надо не запретом route add, а правильными настройками пограничной машины.

Далее. По идее тебе нужно настроить порт мэппинг на WinRoute'е, а клиентов на использование назначенных портов сервера с WinRoute. Про порт-мэппинг конктретно про Винроут конкретно на этом сервере уже много есть. Буквально на этой-соседних страницах. Почитай http://forum.citforum.ru/viewtopic.php?t=32749
_________________
Век живи - век учись!.. Дураком помрёшь.

[Алекс]

[K-Unker]

[a-m-d]

Поскольку данных для точного ответа явно недостаточно, даю "направление".

1. Убедись, что на пограничной машине не используется NAT от Windows, он же ISC, (для соединения с инетом не разрешен общий доступ).

2. Запрети роутинг на этой машине, если он есть (это через реестр). Все пакеты, связанные с инетом, должны проходить через WinRoute.

3. Настрой WinRoute.

4. Убедись, что фаервол, если есть, настроен соответствующим образом.

5. "Отвяжи" от внешнего соединения все, кроме протокола TCP/IP.
_________________
Век живи - век учись!.. Дураком помрёшь.

[a-m-d]

[K-Unker]

[a-m-d]

Посмотри http://liter.narod.ru/wr/
_________________
Век живи - век учись!.. Дураком помрёшь.

[PolAR]

Я может не заметил и выше это уже советовали, но у меня сеточка построена на WinRoute с NAT. А запрет выходить мимо прокси - просто:
Разрешить отправлять пакеты на 80-й порт только с Сервера ( на котором ВинРоут стоит) а остальным - облом!!

Когда я настраивал я интуитивно так сделал и не пробовал делать в обход. А сейчас прочитав топик попробовал - НЕЛЬЗЯ. А когда в Файрволле доп. правило добавил - что можно и с локалки ходить - тогда заходило. Так что можно и без портмаппинга по-моему.

Кстати мне говорили что portmapping быстрее работает чем NAT.
Если я правильно понимаю:
1. NAT просто меняет IP и ведет таблицу учета ( чтобы обратно его на обратном пути изменить) .
2. portmapping должен формировать новый паукет и работает как прокси.

Поэтому для меня не очевидно кто из них быстрее, я вообще думал что NAT как одно из разновидностей portmapping
_________________
Come Together!! Right Now....

[PolAR]

2 a-m-d
Этот сайт шибко смахивает на Винроутеровский хэлп
_________________
Come Together!! Right Now....

[K-Unker]

[K-Unker]

[lagin]

port mapping здесь абсолютно не причём, он вам нужен если вы например захотите внутри своей сети запустить веб-сервер и открыть дл янего доступ из интернета, тогда то вы и настраиваете port mapping на маршрутизаторе, подключенном в интернет.
А вы не хотите попробовать сделать так:
Создаёте две группы ip адресов.
в первую вносите адреса, которым разрешен nat, http, ftp или что там вам еще нужно
а вдругую группу вносите ip адреса, которым запрещено, всё или что-то частично вам решать.
и в фильтре обработайте эти две группы так как вам нужно.

[PolAR]

2 K-Unker:

када я говорил что можно без портмаппинга, я имел ввиду что НАТ нужно оставить ( тогда почтовые клиенты работают - я все там выше написал).

А вот что ты имел ввиду, говоря что не рекомендуется забирать почту при включеном прокси - я не понял
_________________
Come Together!! Right Now....

[K-Unker]

[K-Unker]

[lagin]

какая версия винроут у вас?

[K-Unker]

[K-Unker]

Что я делаю не так?

Создаю Группы пользователей

"Можно и прокси, и мимо"
192.168.0.4
192.168.0.16
192.168.0.1

"Только прокси"
192.168.0.4
192.168.0.12
192.168.0.11
192.168.0.10
192.168.0.15
и т.д.

Далее настраиваю пакетный фильтр, внутренний интерфейс

Permit TCP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit UDP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit TCP Any Host All Ports -> Только прокси=3128
Permit UDP Any Host All Ports -> Только прокси=3128
Deny TCP Any Host All Ports -> Any host=80
Deny TCP Any Host All Ports -> Any host=8080

В итоге получается, что "Можно и прокси, и мимо" работает точно также как "Только прокси". Тоесть при выключенном прокси группа пользователей "Можно и прокси, и мимо" в инет не ходит. Где я ошибся, почему такая лажа?

[Zalexandr]

Почту получает не прокси
Почтовый сервак у тебя где стоит ? На твоей машине или у провайдера ?

[K-Unker]