Kerio

Vich · Отправлено: **10:59, 27-04-2004** | #**211**

раздел, где группы адресов и временных диапазонов. там же есть пункт - сервисы. внутри порт 21 (лучше ищи по номеру..)
кстати, дополнительно к WinRoute'у не стоит часом еще один фаервол?

Negativ · Отправлено: **11:44, 27-04-2004** | #**212**

AndrS
А winroute у тебя как проксик работает или ты через nat юзаешь? У меня лично через проксик не получалось. Пришлось nat поднимать.

AndrS · Отправлено: **22:16, 27-04-2004** | #**213**

Vich
Ты уж прости мою тупость, но в упор я "сервисы" не нашел там

[img]www.andrs.nm.ru/images/winroute.gif[/img]
К ВинРоуту больше фаерволов нет так что...

Negativ
как прокси
а что есть NAT вернее как его настроить и какие плюсы-минусы есть при том и том варианте (кратенько, если не сложно)

Negativ · Отправлено: **09:08, 28-04-2004** | #**214**

AndrS
Думаю тебе нужно почитать документацию по Winroute. Возьми здесь. Там все подробно описано.

AndrS · Отправлено: **00:38, 01-05-2004** | #**215**

Negativ
Спасибо!
почитал, но так и не смог решить проблему с FTP

А про NAT я просто не понял.
как-то там все завернуто, а вот сути не понял!!!

Vich · Отправлено: **09:42, 05-05-2004** | #**216**

суть в подмене внутренних адресов локальной сети на внешний(ие) для всех клиентов, но прозрачно для них... т.е. получается прозрачный прокси какбы

DeepProg · Отправлено: **22:24, 15-05-2004** | #**217**

Работаем с @Klassika.
Настройка собственно соединения хорошо описана у HeliosNet.
У них есть и пример настройки WinRoute 4.x.

Теперь о ситуации:
WinXP. В работе участвуют 3 interface:

BroadbandReceiver(карточка, общающаяся с со спутниковой антенной), который Wizard KWF выбирать почему-то не дает(руками-то я его вставлю)
Dial-up Modem, который сначала коннектится к наземному прову, а затем коннектимся к
серверу VPN провайдера СКД

Мне удалось в KWF5 разрешить подключение к VPN(в лоб: разрешил адреса провайдера) после успешного подключения к наземному dial-up провайдеру.
НО
Трафик блокируется.
Мне известна причина блокировки - срабатывает Anti-Spoofing на интерфейс BroadBand Receiver. *Отключение Anti-Spoofing - *освобождает трафик. Но так я, кажется, теряю всю защиту от этого класса атак.

Вопрос: как настроить возможность прохождения трафика с тарелки ко мне в обход Anti-Spoofing только для данного интерфейса и предотвратить спуффинг со стороны агрессора?

Приятно будет видеть сценарий корректной настройки с иным подходом(можeт быть, грамотный routing), т.е. "как это было" от тех, кто успешно использует СКД в своих LAN.

Для начала можно попробовать "поднять" трафик только для машины с KWF, если это удастся, поговорим и о раздаче Internet в LAN.

AndrS · Отправлено: **00:04, 17-05-2004** | #**218**

Vich
А на примерах нельзя пояснить что и как!!!!!

Hemp · Отправлено: **09:23, 17-05-2004** | #**219**

Есть локальная сеть из восьми компьютеров (W2k, XP), созданная на основе рабочей группы. На одном компьютере (W2k sp4, P530 Mz, 256 Mb), решил сделать шлюз. В нём две сетевых карточки.
Одна со статическим адресом 192.168.ААА.ААА, смотрит в локальную сеть, предпочитаемый DNS-сервер 192.168.ААА.ААА (ретранслирую DNS запросы).
Это интерфейс А.

Вторая со статическим адресом 192.168.ВВВ.ВВВ (до меня, он раздавался динамически, но с помощью утилиты ipconfig /all, я понаблюдал, что этот адрес не меняется и задал его статически), смотрит, думаю на маршрутизатор, комутатор или другой компьютер расположеный в этом здании. Короче смотрит в сторону провайдера. Предпочитаемый DNS-сервер, (раздавался динамически, прописал статически) 81.20.ВВВ.ВВВ. IP-адрес шлюза 192.168.ВВВ.ВВ1 .
Это интерфейс В.
<<витая пара к провайдеру (В)>>_192.168.ВВВ.ВВВ_||шлюз||_192.168.ААА.ААА_<<витая пара в локальную сеть (А)>>

Через это соединение (интерфейс В) проложен VPN тунель к провайдеру. IP-адреса задаются динамически, в диапазоне 81.20.ССС.1-254 (IP-адрес и IP-адрес шлюза). В WinRoute создал группу адресов -- "81.20.ССС". IP-адрес DNS-cервера 81.20.ССС.ССС.
Это интерфейс С.

В общем получается в контролёре удалённого доступа три сетевых интерфейса (физических два -- А и В).
____________________________________________
Установил программный маршрутизатор Kerio WinRoute v.4.2.5.
Включил ретрансляцию DNS (ретранслировать 81.20.ССС.ССС), в "Таблице интерфейсов" -- преобразовыть IP-адрес для *VPN интерфейса (NAT). В "Пакетном фильтре", правил, *практически нет, пока, нет. Включил прокси-сервер. Порт 3128.
Завёл пользователей. *Аутентификацию пользователей средствами Windows не делал. У пользователей имена написаны кириллицей, плюс пароль.
У пользователей, в настройках TCP/IP, в качестве шлюза и DNS-сервера стоит 192.168.ААА.ААА. В IE, в Opere, в настройках прокси сервера, HTTP, HTTPS -- 192.168.ААА.ААА:3128.
_____________________________________________
Теперь проблема. За месяц пришёл внушительный счёт, провайдер кричит, что это может быть из-за вирусов. Вирусы, которые были, я удалил (сеть досталась по наследству).
1.Вопрос такой, преобразую адреса, я с VPN соединения, пакеты проходят на интерфейс А. Могут ли пакеты проходить на интерфейс В, т.е. ещё кто-то в сети 192.168.ВВВ.1-254 может ли, "кушать" трафик нахаляву?

2.Если, да, то какие правила необходимо создать в пакетном фильтре для интерфейса В?
Пока стоят такие:
Входящие:
TCP_любой адрес_любой порт-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_группа адресов"81.20.ССС"_1723-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
UDP_любой адрес_53-->>>любой адрес_53 *разрешить;
UDP_любой адрес_53-->>>любой адрес_более 1023 *разрешить;
UDP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
ICMP -- запретить.

1723 -- с этим портом работает протокол PPTP.
Помогите настроить правильно пакетный фильтр.
Читал, что протокол PPTP инкапсулирует пакеты протокола PPP в IP протокол...
Честно говоря не совсем понимаю как работает PPTP протокол, если есть, у кого ссылки по данному протоколу -- поделитесь.

[s]Исправлено: Hemp, 7:20 18-05-2004[/s]

Профиль · Отправлено: **11:29, 17-05-2004** | #**220**

Привет, незнакомый дружище!
Помоги советом, пожалуйста!
Есть сетка MS из 15 компьютеров, 7 из них имеют доступ в Инет через отдельный узел
(Win98, две сетевухи Compex(на DSL) и D-Link(в локальную сеть), WinRoute 4.2.1 rus, DSL Zyxel645, выделенка 512к). Всё работает, но есть две язвы, которые мешают мне спокойно работать:
1. Не могу ни у кого узнать - как настроить фильтрацию пакетов WinRoute, т.е. у меня на данный момент "правил фильтрации нет".
2. Неправильно считается трафик при закачке по ftp. Например, скачиватся файл 2 мб
при помощи Reget, тот разбивает эти 2 мб на пять частей и КАЖДАЯ часть файла в итоге и меет размер ЦЕЛОГО ФАЙЛА 2МВ. Поэтому трафик растет как на дрожжах.
Посоветуй, что с этим делать?

С уважением, нарушение@правил.ru

[s]Исправлено: Vich, 12:05 17-05-2004[/s]