[Hemp]

Есть локальная сеть из восьми компьютеров (W2k, XP), созданная на основе рабочей группы. На одном компьютере (W2k sp4, P530 Mz, 256 Mb), решил сделать шлюз. В нём две сетевых карточки.
Одна со статическим адресом 192.168.ААА.ААА, смотрит в локальную сеть, предпочитаемый DNS-сервер 192.168.ААА.ААА (ретранслирую DNS запросы).
Это интерфейс А.

Вторая со статическим адресом 192.168.ВВВ.ВВВ (до меня, он раздавался динамически, но с помощью утилиты ipconfig /all, я понаблюдал, что этот адрес не меняется и задал его статически), смотрит, думаю на маршрутизатор, комутатор или другой компьютер расположеный в этом здании. Короче смотрит в сторону провайдера. Предпочитаемый DNS-сервер, (раздавался динамически, прописал статически) 81.20.ВВВ.ВВВ. IP-адрес шлюза 192.168.ВВВ.ВВ1 .
Это интерфейс В.
<<витая пара к провайдеру (В)>>_192.168.ВВВ.ВВВ_||шлюз||_192.168.ААА.ААА_<<витая пара в локальную сеть (А)>>

Через это соединение (интерфейс В) проложен VPN тунель к провайдеру. IP-адреса задаются динамически, в диапазоне 81.20.ССС.1-254 (IP-адрес и IP-адрес шлюза). В WinRoute создал группу адресов -- "81.20.ССС". IP-адрес DNS-cервера 81.20.ССС.ССС.
Это интерфейс С.

В общем получается в контролёре удалённого доступа три сетевых интерфейса (физических два -- А и В).
____________________________________________
Установил программный маршрутизатор Kerio WinRoute v.4.2.5.
Включил ретрансляцию DNS (ретранслировать 81.20.ССС.ССС), в "Таблице интерфейсов" -- преобразовыть IP-адрес для *VPN интерфейса (NAT). В "Пакетном фильтре", правил, *практически нет, пока, нет. Включил прокси-сервер. Порт 3128.
Завёл пользователей. *Аутентификацию пользователей средствами Windows не делал. У пользователей имена написаны кириллицей, плюс пароль.
У пользователей, в настройках TCP/IP, в качестве шлюза и DNS-сервера стоит 192.168.ААА.ААА. В IE, в Opere, в настройках прокси сервера, HTTP, HTTPS -- 192.168.ААА.ААА:3128.
_____________________________________________
Теперь проблема. За месяц пришёл внушительный счёт, провайдер кричит, что это может быть из-за вирусов. Вирусы, которые были, я удалил (сеть досталась по наследству).
1.Вопрос такой, преобразую адреса, я с VPN соединения, пакеты проходят на интерфейс А. Могут ли пакеты проходить на интерфейс В, т.е. ещё кто-то в сети 192.168.ВВВ.1-254 может ли, "кушать" трафик нахаляву?

2.Если, да, то какие правила необходимо создать в пакетном фильтре для интерфейса В?
Пока стоят такие:
Входящие:
TCP_любой адрес_любой порт-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_группа адресов"81.20.ССС"_1723-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
UDP_любой адрес_53-->>>любой адрес_53 *разрешить;
UDP_любой адрес_53-->>>любой адрес_более 1023 *разрешить;
UDP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
ICMP -- запретить.

1723 -- с этим портом работает протокол PPTP.
Помогите настроить правильно пакетный фильтр.
Читал, что протокол PPTP инкапсулирует пакеты протокола PPP в IP протокол...
Честно говоря не совсем понимаю как работает PPTP протокол, если есть, у кого ссылки по данному протоколу -- поделитесь.




[s]Исправлено: Hemp, 7:20 18-05-2004[/s]