Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Вт Май 10 2005 10:40 Заголовок сообщения: Идиотский затык с Winroute 4.1.25 |
|
|
Товарищи! Что я делаю не так?
Создаю Группы пользователей
"Можно и прокси, и мимо"
192.168.0.4
192.168.0.16
192.168.0.1
"Только прокси"
192.168.0.4
192.168.0.12
192.168.0.11
192.168.0.10
192.168.0.15
и т.д.
Далее настраиваю пакетный фильтр, внутренний интерфейс
Permit TCP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit UDP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit TCP Any Host All Ports -> Только прокси=3128
Permit UDP Any Host All Ports -> Только прокси=3128
Deny TCP Any Host All Ports -> Any host=80
Deny TCP Any Host All Ports -> Any host=8080
В итоге получается, что "Можно и прокси, и мимо" работает точно также как "Только прокси". Тоесть при выключенном прокси группа пользователей "Можно и прокси, и мимо" в инет не ходит. Где я ошибся, почему такая лажа? |
|
Вернуться к началу |
|
|
a_bao_a_ku
Зарегистрирован: 06.04.2004 Сообщения: 21
|
Добавлено: Вт Май 10 2005 14:03 Заголовок сообщения: |
|
|
у меня winroute 4.1.25 правда пользователей я не создавал, они у меня берутся с сервера win 2000 , winroute применяет правила фильтра последовательно, с первой по последнюю, в твоём примере в фильтре сначала разрешается доступ в прокси и мимо всем хостам, потом всем же доступ указывается в 3128, возможно правила перекрывают одно другое и применяется последнее правило..возможно поэому.. |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Вт Май 10 2005 14:24 Заголовок сообщения: |
|
|
Провел эксперимент.
Самым верхним правилом поставил разрешение:
Permit TCP Any Host All Ports -> 192.168.0.4 All Ports
Увы - результат тот же. Компьютер с адресом 192.168.0.4 ходит в инет только через прокси. Что делать? |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Ср Май 11 2005 13:18 Заголовок сообщения: |
|
|
Неужели никто не знает? |
|
Вернуться к началу |
|
|
lagin
Зарегистрирован: 07.04.2002 Сообщения: 38 Откуда: Москва
|
Добавлено: Ср Май 11 2005 13:37 Заголовок сообщения: для тех кто ходит мимо |
|
|
Нужно включить NAT для тех кто ходит мимо.
т.е. вход соед для группы всё можно делаем нат на внешнем интерфейсе. |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Ср Май 11 2005 16:23 Заголовок сообщения: |
|
|
Можно подробнее? Дело в том, что на внешнем интерфейсе NAT и так включен... |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пт Май 13 2005 13:09 Заголовок сообщения: |
|
|
Методом тыка было обнаружено, что Winroute 4.1.25 не может обработать правило для конкретного IP-адреса или конкретной выбранной группы IP-адресов. Например, пытаюсь запретить прокси хосту с адресом 192.168.0.4
Во внутреннем входящем интерфейсе (входящий поток внутренней сетевой карты) задаю:
Deny TCP Any Host All Ports -> 192.168.0.4 Port=3128
И, черт побери, это правило не работает!!!! Прокси все равно доступен! Кто объяснит, что это за бред?
Зато если задать такое правило, то нет проблем:
Deny TCP Any Host All Ports -> Any Host All Port=3128
Здесь все работает.
Помогите! |
|
Вернуться к началу |
|
|
K-Unker
Зарегистрирован: 05.09.2004 Сообщения: 142 Откуда: Украина, г. Киев
|
Добавлено: Пн Май 16 2005 15:12 Заголовок сообщения: |
|
|
Поскольку никто не ответил, отвечаю сам
Для всех страждущих, вот настройки WinRoute 4.1.25, разделяющие юзеров по группам для контроля доступа к Интернет.
Входящий внутренний интерфейс
Создаем группы пользователей: Settings-> Advanced -> Address groups
Распределяем пользователей предприятия, используя IP-адреса.
Пользователей, которым разрешен выход в Интернет как через прокси-сервер, так и напрямую, объединяем в группу «Proxy and without». Пользователей, которым разрешен выход в Интернет только через прокси-сервер, объединим в группу «Inet users». Пользователей, которым запрещен Интернет объединим в группу «Internet denied». Настроим правила в пакетном фильтре.
Permit TCP Proxy and without All ports => Any host all ports
Permit TCP Inet users all ports => <IP-адрес прокси> port=3128
Deny TCP Internet denied All ports => <IP-адрес прокси> port=3128
Deny TCP Any host all ports => Any host port=80 |
|
Вернуться к началу |
|
|
|