Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пн Янв 17 2005 16:53 Заголовок сообщения: WinRoute и ведение LOG-файла |
|
|
Есть сеть под управлением w2k server , развернута Active Directory. В качестве файрвола и прокси-сервера используется WinRoute. Возник следующий вопрос: как запретить юзерам ходить в инет в обход прокси-сервера? (если ходить в обход WinRoute, то он естественно не ведет LOG-файла) Дело в том, что на клиентских компах можно прото-напросто убрать шлюз, тогда вылазки в интернет будут возможны только через прокси. Я так и поступил - поубирал юзерам шлюз, но возникла проблема: перестала ходить почта (пользуюсь Outlook Express). Тоесть почтовик принимает-отправляет почту только при указанном шлюзе. Как это победить?
P.S. Нужные порты (110, 143 и т.д.) у файрвола открыты. |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пн Янв 17 2005 17:11 Заголовок сообщения: |
|
|
Сдается мне, что непра-а-а-вильный у тебя бутерброд был, дядя Фёдор!..
Прямые вылазки в инет перекрывать надо на пограничной машине. А не наличием шлюза по умолчанию на клиенте. Даже если ты запретил клиенту менять настройки сети, он может попытаться вывернуться. Не забудь тогда хотя бы запретить использование команды route add. Мне кажется, что у тебя NAT до сих пор работает и ничто клиенту не мешает, прописАв правильный маршрут, обойти твои прокси Проверь. Лечить надо не запретом route add, а правильными настройками пограничной машины.
Далее. По идее тебе нужно настроить порт мэппинг на WinRoute'е, а клиентов на использование назначенных портов сервера с WinRoute. Про порт-мэппинг конктретно про Винроут конкретно на этом сервере уже много есть. Буквально на этой-соседних страницах. Почитай http://forum.citforum.ru/viewtopic.php?t=32749 _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Янв 18 2005 11:56 Заголовок сообщения: |
|
|
a-m-d писал(а): | Мне кажется, что у тебя NAT до сих пор работает и ничто клиенту не мешает, прописАв правильный маршрут, обойти твои прокси |
Ты прав, походу!
Отключи, если хочется возиться с порт-мэппингом, НАТ нафиг.
А еще лучше перенастрой его на пропускание трафика только через нужные порты (если такое можно в ВГ сделать - я не разбирался).
А можешь файерволом позакрывать для клиентов все лишние порты, т.е. разрешить подключение только к портам прокси, почты и чего там у тебя еще вертится. _________________ Удачи! |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Чт Апр 21 2005 17:15 Заголовок сообщения: |
|
|
a-m-d писал(а): |
Далее. По идее тебе нужно настроить порт мэппинг на WinRoute'е, а клиентов на использование назначенных портов сервера с WinRoute. Про порт-мэппинг конктретно про Винроут конкретно на этом сервере уже много есть. Буквально на этой-соседних страницах. Почитай http://forum.citforum.ru/viewtopic.php?t=32749 |
Все правильно - закрывать нужно на пограничной машине. Но как это сделать?? На соседних страницах описан порт мэппинг для настройки почтового клиента, с моим случаем слабо пересекается. Какой алгоритм закрытия доступа юзерам инета? Как, что и где нужно прописывать, хотя бы в общих словах? |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Апр 22 2005 08:44 Заголовок сообщения: |
|
|
Поскольку данных для точного ответа явно недостаточно, даю "направление".
1. Убедись, что на пограничной машине не используется NAT от Windows, он же ISC, (для соединения с инетом не разрешен общий доступ).
2. Запрети роутинг на этой машине, если он есть (это через реестр). Все пакеты, связанные с инетом, должны проходить через WinRoute.
3. Настрой WinRoute.
4. Убедись, что фаервол, если есть, настроен соответствующим образом.
5. "Отвяжи" от внешнего соединения все, кроме протокола TCP/IP. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Апр 22 2005 08:51 Заголовок сообщения: |
|
|
K-Unker писал(а): | ...На соседних страницах описан порт мэппинг для настройки почтового клиента, с моим случаем слабо пересекается... |
Как это с твоим случаем "слабо пересекается"? А это чьё?
K-Unker писал(а): | ...Я так и поступил - поубирал юзерам шлюз, но возникла проблема: перестала ходить почта (пользуюсь Outlook Express). Тоесть почтовик принимает-отправляет почту только при указанном шлюзе. Как это победить?
P.S. Нужные порты (110, 143 и т.д.) у файрвола открыты. |
Так что настройка почтового клиента и порт-мэппинга на WinRout'е и есть самый твой случай
Или я чего-то не понимаю. Что есть "почтовик" и где он расположен (в инете, в локалке, на пограничной машине)? _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Апр 22 2005 14:01 Заголовок сообщения: |
|
|
a-m-d писал(а): | Поскольку данных для точного ответа явно недостаточно, даю "направление".
|
Даю точные данные.
Локальная сеть под управлением w2k server, развернута Active Directory. На w2k server установлен Winroute 4.1.25 от Tiny Software.
На клиентских машинах установлена w2k professional SP3, Windows 98SE. Выход в интернет осуществляется через ADSL выделенную линию. Для этого на сервере установлено 2 сетевые карты. Одна - смотрит внутрь локальной сети, другая - соединена с кабельным модемом.
Цель: создание системы контроля доступа в интенет конечных пользователей локальной сети, обеспечение работы Outlook Express (прием-отправка писем), клиента ICQ, обеспечение HTTP, HTTPS, FTP. |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пт Апр 22 2005 15:46 Заголовок сообщения: |
|
|
Посмотри http://liter.narod.ru/wr/ _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004 Сообщения: 133
|
Добавлено: Ср Апр 27 2005 07:22 Заголовок сообщения: |
|
|
Я может не заметил и выше это уже советовали, но у меня сеточка построена на WinRoute с NAT. А запрет выходить мимо прокси - просто:
Разрешить отправлять пакеты на 80-й порт только с Сервера ( на котором ВинРоут стоит) а остальным - облом!!
Когда я настраивал я интуитивно так сделал и не пробовал делать в обход. А сейчас прочитав топик попробовал - НЕЛЬЗЯ. А когда в Файрволле доп. правило добавил - что можно и с локалки ходить - тогда заходило. Так что можно и без портмаппинга по-моему.
Кстати мне говорили что portmapping быстрее работает чем NAT.
Если я правильно понимаю:
1. NAT просто меняет IP и ведет таблицу учета ( чтобы обратно его на обратном пути изменить) .
2. portmapping должен формировать новый паукет и работает как прокси.
Поэтому для меня не очевидно кто из них быстрее, я вообще думал что NAT как одно из разновидностей portmapping _________________ Come Together!! Right Now.... |
|
Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004 Сообщения: 133
|
Добавлено: Ср Апр 27 2005 07:27 Заголовок сообщения: |
|
|
2 a-m-d
Этот сайт шибко смахивает на Винроутеровский хэлп _________________ Come Together!! Right Now.... |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Апр 29 2005 11:32 Заголовок сообщения: |
|
|
PolAR писал(а): |
Так что можно и без портмаппинга по-моему.
|
Нельзя! А как пользоваться почтовыми клиентами? Через прокси?
В инструкции WinRoute указано, что забирать почту при включенном прокси крайне не рекомендуется. Думаю, объяснять почему не нужно. |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Апр 29 2005 12:33 Заголовок сообщения: |
|
|
С почтой вроде прояснилось.
Но задача несколько шире - нужно настроить пограничную машину так, что бы можно было контролировать доступ к интернету всех пользователей локальной сети предприятия. Вопрос вот в чем:
к примеру, я прописываю в Port Mapping следующее:
Protocol: TCP
Listen IP: <Unspecified>
Listen port: single port, 80
Destination IP: 192.168.0.4
Тоесть прописал разрешение протокола HTTP для компьютера локальной сети с IP-адресом 192.168.0.4
Как мне нужно настроить теперь Packet Filter для того, что бы, к примеру, только этот компьютер имел доступ к HTTP?
Сейчас от этой записи в Port Mapping ни холодно, ни жарко - и так Packet Filter протокол 80 разрешает - тоесть все компьютеры предприятия могут пользоваться HTTP. Неужто теперь нужно запретить протокол 80 в Packet Filter? |
|
Вернуться к началу |
|
|
lagin
Зарегистрирован: 07.04.2002 Сообщения: 38 Откуда: Москва
|
Добавлено: Пт Апр 29 2005 16:40 Заголовок сообщения: а при чём здесь port mapping? |
|
|
port mapping здесь абсолютно не причём, он вам нужен если вы например захотите внутри своей сети запустить веб-сервер и открыть дл янего доступ из интернета, тогда то вы и настраиваете port mapping на маршрутизаторе, подключенном в интернет.
А вы не хотите попробовать сделать так:
Создаёте две группы ip адресов.
в первую вносите адреса, которым разрешен nat, http, ftp или что там вам еще нужно
а вдругую группу вносите ip адреса, которым запрещено, всё или что-то частично вам решать.
и в фильтре обработайте эти две группы так как вам нужно. |
|
Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004 Сообщения: 133
|
Добавлено: Сб Апр 30 2005 16:09 Заголовок сообщения: |
|
|
2 K-Unker:
када я говорил что можно без портмаппинга, я имел ввиду что НАТ нужно оставить ( тогда почтовые клиенты работают - я все там выше написал).
А вот что ты имел ввиду, говоря что не рекомендуется забирать почту при включеном прокси - я не понял _________________ Come Together!! Right Now.... |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Май 06 2005 09:55 Заголовок сообщения: |
|
|
PolAR писал(а): | 2 K-Unker:
А вот что ты имел ввиду, говоря что не рекомендуется забирать почту при включеном прокси - я не понял |
Имеется ввиду, что прокси сохраняет письма - теперь без проблем можно вытащить их из кэша и прочитать. Тоесть вся безопасность коту под хвост |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Май 06 2005 10:40 Заголовок сообщения: Re: а при чём здесь port mapping? |
|
|
lagin писал(а): |
А вы не хотите попробовать сделать так:
Создаёте две группы ip адресов.
в первую вносите адреса, которым разрешен nat, http, ftp или что там вам еще нужно
а вдругую группу вносите ip адреса, которым запрещено, всё или что-то частично вам решать.
и в фильтре обработайте эти две группы так как вам нужно. |
Спасибо за идею.
Как создавать группы пользователей? Settings -> Advansed ->Address Groups? Или Advansed-> Accounts ->User Accounts -> Groups ?
Заранее извиняюсь за глупые вопросы.
Кстати, какая-то фигня с фильтром пакетов: запрещаю все входящие/исходящие TCP и UDP пакеты для конкретного IP адреса - но, почему то, на компе с эти IP адресом все продолжает работать!
Что за чудеса? Запрет ставлю на самый верх, т.е. правило с запретом - первое и все равно запрет не работает - интернет на этом компе как был, так и есть. Что делать? |
|
Вернуться к началу |
|
|
lagin
Зарегистрирован: 07.04.2002 Сообщения: 38 Откуда: Москва
|
Добавлено: Пт Май 06 2005 11:36 Заголовок сообщения: winroute у вас какой версии? |
|
|
какая версия винроут у вас? |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Май 06 2005 12:00 Заголовок сообщения: Re: winroute у вас какой версии? |
|
|
lagin писал(а): | какая версия винроут у вас? |
WinRoute Pro 4.1.25
Производитель - Tiny Software |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Сб Май 07 2005 09:52 Заголовок сообщения: |
|
|
Что я делаю не так?
Создаю Группы пользователей
"Можно и прокси, и мимо"
192.168.0.4
192.168.0.16
192.168.0.1
"Только прокси"
192.168.0.4
192.168.0.12
192.168.0.11
192.168.0.10
192.168.0.15
и т.д.
Далее настраиваю пакетный фильтр, внутренний интерфейс
Permit TCP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit UDP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit TCP Any Host All Ports -> Только прокси=3128
Permit UDP Any Host All Ports -> Только прокси=3128
Deny TCP Any Host All Ports -> Any host=80
Deny TCP Any Host All Ports -> Any host=8080
В итоге получается, что "Можно и прокси, и мимо" работает точно также как "Только прокси". Тоесть при выключенном прокси группа пользователей "Можно и прокси, и мимо" в инет не ходит. Где я ошибся, почему такая лажа? |
|
Вернуться к началу |
|
|
Zalexandr
Зарегистрирован: 06.05.2005 Сообщения: 31
|
Добавлено: Вс Май 08 2005 03:05 Заголовок сообщения: |
|
|
Почту получает не прокси
Почтовый сервак у тебя где стоит ? На твоей машине или у провайдера ? |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Вс Май 08 2005 09:57 Заголовок сообщения: |
|
|
Zalexandr писал(а): | Почту получает не прокси
Почтовый сервак у тебя где стоит ? На твоей машине или у провайдера ? |
Почтовый сервак у провайдера. У меня на Винроуте он выключен - не пользуюсь.
Дык а как насчет описанной проблемы? Почему не получается обойти прокси, даже если прописываешь себя в группу "можно м прокси, и мимо" ? |
|
Вернуться к началу |
|
|
|