|
+7 (495) 77-55-991
|
Вопрос по логике работы |
Ответить 
|
страница <12 |
| Автор | ||
DmitryPC 
Expert 
Регистрация: 26-Янв-07 Местонахождение: Russian Federation Статус: Offline Количество сообщений: 7301 |
 Параметры сообщения
 Спасибо(1)
 Цитировать Ответить
 Добавлено: 31-Янв-19 в 11:11 |
|
|
не вижу тут никакой проблемы.
0. днсом указывается сервер с ти(можно поднять кэширующий, или не поднимать, или использовать внутрисетевой днс сервер, имеющий доступ наружу) 1. снимаете галку "Direct NAT" в настройках пользователя или группы пользователей и настраиваете перенаправление всех запросов на прокси с блокировкой мимо(стоит по умолчанию). добавляете группу фильтров в них создаете нужные фильтры на разрешение на нужные удаленные порты через "direct nat", затем назначаете эту группу фильтров на группу пользователей или на конкретного пользователя. 2. аналогично первому пункту, только фильтры через "директ нат" никакие не назначаете. как то так..
|
||
 |
||
|
Pressmark
Junior member 
Регистрация: 03-Окт-18 Статус: Offline Количество сообщений: 14 |
Параметры сообщения
Спасибо(0)
Цитировать Ответить
Добавлено: 31-Янв-19 в 13:09 |
|
Вот за наводку на Direct NAT спасибо. При снятии галочки действительно нет доступа из LAN в WAN на неразрешенные порты. Проходит только HTTP, HTTPs и DNS запросы. Фильтрация по категориям срабатывает. Разрешенные порты создаю так же в списках портов и правило пользователей с привязкой к группе. Ну а HTTP и HTTPs трафик подкрутить можно так же правилами. |
||
|
||
|
Pressmark
Junior member
Регистрация: 03-Окт-18 Статус: Offline Количество сообщений: 14 |
Параметры сообщения
Спасибо(0)
Цитировать Ответить
Добавлено: 12-Фев-19 в 11:42 |
|
|
Подниму тему.
Вроде все настроил так как требуется указаниями начальства, но... При "Запрете всего" неавторизованным в ТИ пользователям хост с ТИ получился отрезанным от локальной сети. Авторизованные пользователи ходят в интернет как полагается и куда полагается, а сам хост с ТИ испытывает некоторые проблемы. 1) Он не пингуется и не пингует другие ПК в локальной сети 2) Не видит расшаренных ресурсов так как не видит другие ПК 3) Испытывает проблемы с обновлением антивируса NOD32 хотя по умолчанию в интернет он выходит напрямую  , а так же из-за вышеописанных проблем не может при обновлении создать зеркало обновлений.Как можно запретить все неавторизованным пользователям и не заблокировать сам хост с ТИ? Может посоветуете какое правило при данных настройках чтоб хост с ТИ без или с авторизацией в ТИ нормально увидел локальную сеть?
Редактировал Pressmark - 12-Фев-19 в 11:53 |
||
|
||
|
DmitryPC
Expert
Регистрация: 26-Янв-07 Местонахождение: Russian Federation Статус: Offline Количество сообщений: 7301 |
Параметры сообщения
Спасибо(0)
Цитировать Ответить
Добавлено: 12-Фев-19 в 12:10 |
|
|
читаем внимательно и по буквам(касательно доступа к внешним сетям):
телепаты, угадывающие по любому вопросу любую придуманную и накрученную пользователем конфигурацию, в бессрочном отпуске. касательно доступа к внутренним ресурсам, варианты: 1. отключить внутренний фв. 2. создать фильтр на разрешение на сам сервер по любым протоколам и портам или фильтры на разрешение на нужные порты и протоколы в общих фильтрах для всех. Редактировал DmitryPC - 12-Фев-19 в 12:20 |
||
|
||
|
Pressmark
Junior member
Регистрация: 03-Окт-18 Статус: Offline Количество сообщений: 14 |
Параметры сообщения
Спасибо(0)
Цитировать Ответить
Добавлено: 14-Фев-19 в 09:16 |
|
Поэтому тема и называется "Вопросы по логике работы" так как для тех кто переходит по воле судьбы на данный продукт с других продуктов логика не совсем ясна. Понятно что вопрос цены, но... Сейчас включен внешний сетевой экран, который по логике должен контролировать трафик между LAN и WAN сетью, а не между LAN-LAN. А при создании на группе запрещающего правила, например "Запретить весь трафик" подразумевается запрещение всего трафика для группы или пользователя из LAN в WAN, но никак не запрещение трафика с пк из данной группы к хосту с ТИ и обратно соответственно так как пользователи группы и сам хост находятся в одной LAN сети. Вопрос с контролем доступа по портам путем отключения Direct NAT решился. Но опять же логичнее выглядит создание правил в межсетевом экране и привязки данных правил к группам/пользователям. Проброс портов если требуется пробросить 1 порт тоже неудобно, но терпимо. А как настроить проброс нескольких сотен портов на другую машину в сети? В RRAS нет диапазона портов, а сам ТИ не может это сделать ну или пока мне это не понятно  Создаю правило на входящий диапазон портов в межсетевом экране ТИ, далее эти порты нужно перебросить на другой ПК в сети за что как я понимаю отвечает только RRAS но там можно указать только 1 порт. P.S. Ответ на Ваш предыдущий вопрос. Программу решили сменить из-за цены (но судя по удобству работы и программе лицензирования это получается почти нивелируется) и потому что на данный момент изменилась вид поставки ПО usergate к чему наш сервер не был готов
 , так что год сидим на данном ПО, а дальше думаем. |
||
|
||
|
DmitryPC
Expert
Регистрация: 26-Янв-07 Местонахождение: Russian Federation Статус: Offline Количество сообщений: 7301 |
Параметры сообщения
Спасибо(0)
Цитировать Ответить
Добавлено: 14-Фев-19 в 10:50 |
|
|
1. ТИ не занимается пробросом портов, потому что ти НАДСТРОЙКА к возможностям функционала маршрутизации системы. Если администратор не может пробросить диапазон портов, это не значит что не может система:
где (1024,1,65535) порты UDP начиная с номера 1024 заканчивая 65535 с шагом =1 0.0.0.0 - хост 192.168.5.15 - куда пробрасывается диапазон. или http://forum.smart-soft.ru/voip_topic21958_page1.html + правильное правило во внешнем фв и правильное правило во внутреннем фв(т.е. фильтр для авторизованного пользователя) 2. если не "удобна" Windows в плане маршрутизатора с НАТ - никто не запрещает использовать ее в качестве "прозрачного" маршрутизатора(с функционалом биллинга и др.) но БЕЗ НАТ(с соответствующим удобным программным(linux\unix) или аппаратным(cisco) - для НАТа(и др.) - дополнением для администратора сети). 3. если ваши пользователи находятся в разных подсетях, которые к тому же маршрутизирует машина с ти, и шлюзом у них(пользователей) является машина с ти, то чего ВЫ хотите то? запретили ВЕСЬ трафик и хотите чтобы всех было видно в сетевом окружении?(риторически). Не будет этого, до тех пор пока не разрешите необходимый трафик, или пока не отключите внутренний фв. Для корректных ответов на возникающие вопросы необходимо понимать структуру и схему той сети о которой идет речь, - в противном случае, думаю этот ответ будет последним в данном топике. Удачных поисков..
Редактировал DmitryPC - 14-Фев-19 в 11:08 |
||
|
||
Параметры темы
DmitryPC :
Off Topic: |
Ответить
|
страница <12 |
| Выберите форум | Ваши права Вы не можете создавать новые темы в этом форуме Вы не можете отвечать в этом форуме Вы не можете удалять свои сообщения в этом форуме Вы не можете редактировать свои сообщения в этом форуме Вы не можете создать голосование в этом форуме Вы не можете голосовать в этом форуме |
|
© 2003-2017, ООО «Смарт-Софт». Все логотипы, названия продуктов и компаний являются торговыми марками своих владельцев.
Тел.: +7 (495) 77-55-991 (доб. 6401), e-mail:info@smart-soft.ru |