Архив форумов ЦИТФорума

[K-Unker]

Товарищи! Что я делаю не так?

Создаю Группы пользователей

"Можно и прокси, и мимо"
192.168.0.4
192.168.0.16
192.168.0.1

"Только прокси"
192.168.0.4
192.168.0.12
192.168.0.11
192.168.0.10
192.168.0.15
и т.д.

Далее настраиваю пакетный фильтр, внутренний интерфейс

Permit TCP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit UDP Any Host All Ports -> Можно и прокси, и мимо , All Ports
Permit TCP Any Host All Ports -> Только прокси=3128
Permit UDP Any Host All Ports -> Только прокси=3128
Deny TCP Any Host All Ports -> Any host=80
Deny TCP Any Host All Ports -> Any host=8080

В итоге получается, что "Можно и прокси, и мимо" работает точно также как "Только прокси". Тоесть при выключенном прокси группа пользователей "Можно и прокси, и мимо" в инет не ходит. Где я ошибся, почему такая лажа?

[a_bao_a_ku]

у меня winroute 4.1.25 правда пользователей я не создавал, они у меня берутся с сервера win 2000 , winroute применяет правила фильтра последовательно, с первой по последнюю, в твоём примере в фильтре сначала разрешается доступ в прокси и мимо всем хостам, потом всем же доступ указывается в 3128, возможно правила перекрывают одно другое и применяется последнее правило..возможно поэому..

[K-Unker]

Провел эксперимент.
Самым верхним правилом поставил разрешение:

Permit TCP Any Host All Ports -> 192.168.0.4 All Ports

Увы - результат тот же. Компьютер с адресом 192.168.0.4 ходит в инет только через прокси. Что делать?

[K-Unker]

Неужели никто не знает?

[lagin]

Нужно включить NAT для тех кто ходит мимо.

т.е. вход соед для группы всё можно делаем нат на внешнем интерфейсе.

[K-Unker]

Можно подробнее? Дело в том, что на внешнем интерфейсе NAT и так включен...

[K-Unker]

Методом тыка было обнаружено, что Winroute 4.1.25 не может обработать правило для конкретного IP-адреса или конкретной выбранной группы IP-адресов. Например, пытаюсь запретить прокси хосту с адресом 192.168.0.4

Во внутреннем входящем интерфейсе (входящий поток внутренней сетевой карты) задаю:

Deny TCP Any Host All Ports -> 192.168.0.4 Port=3128

И, черт побери, это правило не работает!!!! Прокси все равно доступен! Кто объяснит, что это за бред?

Зато если задать такое правило, то нет проблем:

Deny TCP Any Host All Ports -> Any Host All Port=3128

Здесь все работает.
Помогите!

[K-Unker]

Поскольку никто не ответил, отвечаю сам
Для всех страждущих, вот настройки WinRoute 4.1.25, разделяющие юзеров по группам для контроля доступа к Интернет.


Входящий внутренний интерфейс

Создаем группы пользователей: Settings-> Advanced -> Address groups
Распределяем пользователей предприятия, используя IP-адреса.
Пользователей, которым разрешен выход в Интернет как через прокси-сервер, так и напрямую, объединяем в группу «Proxy and without». Пользователей, которым разрешен выход в Интернет только через прокси-сервер, объединим в группу «Inet users». Пользователей, которым запрещен Интернет объединим в группу «Internet denied». Настроим правила в пакетном фильтре.

Permit TCP Proxy and without All ports => Any host all ports
Permit TCP Inet users all ports => <IP-адрес прокси> port=3128
Deny TCP Internet denied All ports => <IP-адрес прокси> port=3128
Deny TCP Any host all ports => Any host port=80