firewall помогите с настройкой
 

поставил керио винроут файрвол 6.0.3
создал правила а они не пашут!
т.е. всем доступ во внешнюю сеть закрыт!
в настройках компов прописываю
1.ip адрес y.y.y.y
2.маска подсети 255,255,255,0
3.шлюз (адрес файрвола) x.x.x.x
пингую - пинг не проходит
в правилах прописал:
источник - внутр.сеть.
назначение - внеш.сеть.
перенаправить - маршрутизатор
(все более подробно в картинке)
что я делаю не так?

ребят, ну хоть что нить посоветуйте!

http://www.networkdoc.ru/files/insop...tml?index.html - я думаяю , здесь вы найдете ответ на ваш вопрос..

спасибо, я уже пользовался Вашей ссылкой, но - тщетно!
ищу другие варианты!

поправьте меня, если я неправ:
имея след. сеть


комп А_________
************** ____________комп Г ____комп Р
* С В И Ч * *****************
**************_______________________________________________* С В И Ч * компБ____________: : : :_____________комп Д *****************
/ : : :
/ : :_______комп Е :
комп В______________/ :_______________ПРОКСИ СЕРВЕР :__комп Т


мы ставим файрвол, и прописываем дефолт гейтвей на компах адрес файрвола.
потом логически у нас будут следующие изменения



комп А_________
************** ____________комп Г
* файрвол *
**************
комп Б____________: : : :_____________комп Д
/ :
/ :
комп В_________________/ :_______________ПРОКСИ СЕРВЕР


и все остальные (Т. Р. Е. и т.д. ) компы подключены только к файрволу, а от него к другим. Т.к. все пакеты отправляются сначала на файрвол, а он по правилам распределяет пакеты по назначениям.

при этом если у прокси сервера адрес 10,10,10,10 (условно), у сети 192,168,0,0 с маской 255,255,255,0 (тоже условно), а у файрвола два 192,168,0,1 и 10,10,10,1 соответсвенно, необходимо ли компу "А" иметь адрес в сети 10? (с условием того, что правила настроены правильно)

чет-я напортачил...
все что я написал выше в файлике!

Что-то ты больно уж глубоко мыслишь, прямо как на курсовой по сетевым технологиям. Ты на пальцах объясни, и поправь, где что не так. :)

1) У тебя куча станций с прописанным LAN IP (192.168.0.XXX)
2) Эти станции идут звездой на хаб
3) Свободный конец с хаба закинут на сервер с фаерволом.

Вопрос: А сервер с фаерволом куда воткнут? В другую локалку или напрямую в интернет?

Если в интернет то как: ADSL или Dial-Up, IP фиксированный или от провайдера?

Если в другую подсеть: IP фиксированный или от админа? Карта сетевая одна или две?

И под какой OS всё это страдает?

1. куча станций с ip адресами от dhcp сервера, он же контроллер домена.

2. пару станций со статичными ip адресами (прокси, почтовик, файрвол и т.д.)

3. еще несколько машин с адресами 10.30.x.x (для выхода во внешнюю сеть)

4. выход во внешнюю сеть через роутер 10.30.48.254

5. из сети 10.30.x.x мне доступны все адреса из 10.30.48.x и 10.30.49. я их назначаю для машин из п.3 по своему усмотрению

4. две сетевые карточки, для машин в п.3 в принципе не требуется, т.к. сети 192.168.0.x и 10.30.x.x физически переплетены

5. т.к. сети 192.168.0.x и 10.30.x.x физически переплетены, нехитрыми способами можно достучаться и до остальных машин!

для всего см.рис1.

Так вот задача поставить файрвол.

ЭТО БЫЛО ВВЕДЕНИЕ. теперь-же мое мнение: если оно в чем-то ошибочное то прошу меня поправить:

если я поставлю файрвол между сетями 192.168.0.x и 10.30.x.x (разделив тем самым их ФИЗИЧЕСКИ) и настрою правила правильно, необходимо-ли компьютеру из п.3 иметь адрес сети 10.30.х.х ????

добавлен последний рисунок

IMHO где 10.30.48.254, там и фаервол ставить надо, нечего ему в твоей сети сидеть (то есть переправить проблему к провайдеру/ админу надсети).

> если я поставлю файрвол между сетями 192.168.0.x и 10.30.x.x (разделив тем самым их ФИЗИЧЕСКИ) и настрою правила
> правильно, необходимо-ли компьютеру из п.3 иметь адрес сети 10.30.х.х ????

Судя по картинке (красивая, кстати :-) ты фаервол не между сетями (10.30 и 192.168) ставишь, а между 10.30.48.254 и всей твоей пёстрой компанией внутри. Фаервол - это же не хаб, это один-ко-многим. А ты конструируешь какой-то трёхсторонний фаервол. Может, такое и возможно, но не видел.

"Если б я была царица", я бы всю твою сеть посадил на стандартные 192.168.0.ХХХ, а потом в фаерволе бы писал кому, куда и когда можно отправлять/получать в 10.30.х.х

Честное признание: не специалист, все конфигурации собрал методом тыка и с помощью известной матери. Так что с точки зрения профессионала может быть полная ерунда что я написал.

спасибо за совет.
файрвол может быть трехсторонний, теоретически, там может быть столько сторон, сколько сетевых карт.

>"Если б я была царица", я бы всю твою сеть посадил на стандартные 192.168.0.ХХХ, а потом в фаерволе бы писал кому, куда и когда можно отправлять/получать в 10.30.х.х

я так и хочу! только спрашиваю, необходимо-ли компам, которые будут получать/отправлять в сеть 10.х.х.х иметь адрес 10.х.х.х?
Видимо нет необходимости. главное прально настроить файрвол.

а если не будет у моих машин адреса сети 10.х.х.х, то получается что файрвол делит две сети!


Эх-х...по теории все должно получаться, а у меня ничегошеньки не пашет! мож кто еще чем поможет?!

> необходимо-ли компам, которые будут получать/отправлять в сеть 10.х.х.х иметь адрес 10.х.х.х?

Нет. Но им нужно знать имя и IP адрес компьютера с фаерволом, который выступает в таком случае сервером подсети.

Также очень помогло бы знать, под чем работают станции (Win 98, Win 98 SE, Win XP Home, Win XP Prof). У них весьма разный набор глюков. Если там OS-коктейль, то скажи преобладающую OS. Я дам конфиг под нее, а остальных сам домучаешь.

winxp и win2k работают пополам!
выбирай!!! где тие легче!

извини...надо было по вежливее!
ничего если я на "ты"?

Ладно, поехали.

Только чур в случае чего меня не искать для набития морды! :-)

Считаем что комп с фаерволом (далее - Сервер) у тебя под Win XP Prof.

Кстати о "куче станций" - ты уже наверное знаешь, что у Win XP Prof стоит блок на 10 одновременных подключений максимум? (Win XP Home - 5) Так как одно соединение всегда занято для связи с 10.30.х.х, то только 9 станций из твоей сети могут одновременно подключаться к серверу/ходить по Интернету. 10ая станция получит "Network connection error" и открытку от дяди Билла. Если это никак не подходит, то ставь Unix-server.

Проверь чтоб все станции имели разные имена, но были в одной группе (например, "MYLAN", "FOOBAR" или чего хочешь): Система > Имя компьютера

Потом на каждой станции я бы прописал fixed IP начиная с 192.168.0.253 и вниз (потому как динамические IP назначаются от 192.168.0.0 и вверх. Так что в случае чего конфликтов адресов не случится.) Всякие упоминания об 10.30.х.х выкидываем.

А Сервер пусть будет 192.168.0.254 (большому кораблю - большой IP)

Потом на каждой станции в TCP/IP прописать 192.168.0.254 как шлюз, и те DNS, которые у тебя стоят на Сервере для подключения к 10.30.х.х

Потом на Сервере... Уж не знаю, ни разу не сажал две сети на одну карту. Но ты, видимо, это уже сделал. В общем, там должно быть два соединения минимум: одно для 10.30.х.х, другое для твоей сети.

10.30.х.х шарим ("Разрешить другим пользователям бла-бла-бла").

Твой LAN еще раз проверяем: IP 192.168.0.254, маска 255.255.255.0, прочую лабуду нах.


Перекреститься, перезапустить, еще раз перекреститься и проверить сеть. Если работает, начинай писать фильтры для фаервола. Если всё нае....ся, бери палку покрепче и иди разбираться с известными ё...нными знатоками в OSZone :-)

сажать две сети на одну сетевуху можно! Но поставить на такую машину файрвол - нет, т.к. файрволу физически необходимы внешняя и внутренняя сеть. Если я поставил файрвол, значит у меня два сетевого интерфейса.
Проблем с динамическими адресами и разрешения имен хостов у меня нет, поэтому я думаю что давать статичные адреса компам которые будут выходить в и-нет не буду.
мне надо проверить прописан ли ДНС сервер на файрволе, и расшарить сетевое подключение которое выходит во внешнюю сеть!
буду стараться!
о результатах доложу!

результат плачевный! т.е. см. пост 1 =-))

можете посоветовать какой нить другой файрвол для защиты сети средних масштабов?

ISA server

А Ты в таблице маршрутизации фаервола обе сети прописал?
Насколько я помню если какая-то сеть не прописана в фаерволе то он считает что к Твоей родной сети подключена вражеская и с нее пытаются достучаться, что фаервол успешно блокирует..

2alex
прописать типа
route -p add 10.30.x.x mask 255.255.0.0 и т.д.?

пингует с командной строки обе сетки
попробую

вчера протестил.. можно на самом маршрутизаторе добавить строку как написано выше через консоль виндовскую, а можно и в Керио в меню Routing Table добавить маршрут, отличие в том что так Тебе прийдеться ручками добавлять/удалять маршрут (add/delete) через консоль винды, а если в Керио это делать то он создает тот же статический маршрут(только галочку поставь чтобы создавал статический маршрут) и если он временно Тебе не нужен просто убираешь напротив него галочку(после того как создашь) или вообще удаляешь. Керио в этом меню показывает "все" системные маршруты которые Ты можешь посмотреть той же командой route print.
А вообще инфу по этому фаеру можешь почитать здесь

спасибо.
по поводу доки для керио я уже читал все!
насчет маршрутов тоже разобрался.
Интересная заметка: что-бы не насиловать сервер я поставил и тестил керио на своем компе, все настройки те-же. результат: работает отлично!
потом устанавливаю керио на сервер, останавливаю службу и все зависящие процессы и приложения, копирую с моего компа на сервер папки керио файрвола, запускаю на сервере керио, (правила и настройки все зацепились) результат: керио не работает!
какие могут быть догадки? я уже изнемог!

кстати, у меня на машине есть сетевая шара.
в файрволе я прописал весь траффик до моей машины - разрешен. шара недоступна из сети
по какому протоколу и порту происходят отношения по шаренным ресурсам? возможно я открою доступ на определенный порт и протокол
//типа tcp 129 и (или) udp 139

спасибо

rivera
kerio-rus.narod.ru тебе поможет

спасибо