Firewoll для виндового прокси
4590
19
haz269
experienced
Есть комп с 2000 professional, через который является прокси.Какой на него можно поставить фаервол? Пробовал Outpost, но так как это персональный фаервол, то он блокирует все транзитные пакеты, и я эту блокировку не нашел где отключать
Ставить прокси на 2000 прф - изначально неправильное решение. Ставить нужно на 2000 сервер. А там можеш взграмоздить на него ISA.
К стати 2.5 оутпост вроде бы умеет с транзитными пакетами работать. Но сам я это не проверял.
ISA -- штука тяжеловатая.
Для мелкокорпоративного использования я бы порекомендовал Kerio WinRoute Firewall. Последние актуальные версии: 6.0х
Для мелкокорпоративного использования я бы порекомендовал Kerio WinRoute Firewall. Последние актуальные версии: 6.0х
Whale Beholding
veteran
версия 6 я бы сказал - тяжеловата для "легкой машины"... можно вполне обойтись winroute 4.2.x Очень лёгкий, абсолютно безглючный, и вполне надёжный NAT+Firewall
Менять винду на 2000 сервер не очень хотелось бы, а вот оутпост 2.5 с транзитными пакетами тоже не работает, проверял, правда это была еще какая-то бета версия.
Ну если вам нужен прокси-сервер с ограничением в 10 однавременных подключений - то пожалуйста, пользуйте проф.
Сейчас читают
Третья Американская: VEN-COL-ECU-PER-BOL-CHL-ARG-BRA-SUR-GUY-URY?-PRY?
642849
523
ФОТОКОФЕЙНЯ
307179
1000
Присоединение Крыма. (часть 3)
221197
979
Там вся сетка 7 компов, и прокси в настоящее время это одна из рабочих станций, не лучший конечно вариант, но не я это делал, мне только приходится сейчас расхлебывать отсутствие фаервола Если они когда-нибудь и доживут до количества компов больше 10 то можно будет подумать и об отдельном сервере, а ближайший год-полтора я думаю ограничение 10 машин помехой не будет.
Напиши потом, на кого же пал твой выбор.
Интересно узнать.
Интересно узнать.
Whale Beholding
veteran
;)) Да что вы такое говорите.... причём тут подключения к машине... и сеансы прокси?? каким боком одно к другому??
haz269
experienced
Просто 2000 проф. не разрешает больше 10 одновременных подключений, для прокси не проверял, но для принтера точно
Под 10-ю единовременными подключениями имеются ввиду 10 подключений К ШАРЕ (по которой работает и принтер).
Прокси, как правильно заметил Whale Beholding, имеет дело с транзитными пакетами, и ограничение действовать не должно.
(что ты ставить то решил в итоге?)
Прокси, как правильно заметил Whale Beholding, имеет дело с транзитными пакетами, и ограничение действовать не должно.
(что ты ставить то решил в итоге?)
Whale Beholding
veteran
;)) Ну... не нужно уж совсем прописные истины вещать.... речь то идёт не о подключении к w2k prof, а о количестве сессий на прокси, а это 2 большие разницы.
Пока попробую Kerio winroute firewall поставить, посмотрю на сколько он безглючный и функциональный. Если не понравится буду дальше искать.
ЗЫ Хотя если будет совсем безглючный тоже не очень хорошо, меньше работы меньше денег
ЗЫ Хотя если будет совсем безглючный тоже не очень хорошо, меньше работы меньше денег
ОФФ - обычно платят больше когда тебя меньше видят возле серверов с взлохмаченной головой и выражением непонимания в глазах, когда ты приходишь только за зарплатой, а аптайм сравним с пенсионным возрастом (тока инфузорий туфелек и прочих мотыльков однодневок не берем в расчет) )), керь работает достаточно безглючно, если ровно стоит ось и железо сделано не монахами в мастерских Северного Шао Линя
Пробовал Outpost, но так как это персональный фаервол, то он блокирует все транзитные пакеты, и я эту блокировку не нашел где отключатьИдем в "Параметры" -- "Системные" -- "Общие правила". Открывается список имеющихся правил, нужно добавить 2 правила.
Правило №1 Список юзеров, которым разрешен выход в интернет.
1. Протокол - TCP
2. Направление - Входящее
3. Удаленный адрес - (список IP-адресов локальных, которым разрешен выход в инет)
4. Разрешить эти данные.
Правило №2 Список разрешенных сервисов (портов)
1. Протокол - TCP
2. Направление - Исходящее
3. Удаленный порт - (список разрешенных портов), например (FTP, SMTP, HTTP, HTTPS, SSL, POP3S, SOCKS, PROXY:3128, PROXY:8008, PROXY:8080, PROXY:8088, 5190, POP3)
4. Разрешить эти данные.
Создаешь эти правила и поднимаешь их к списку разрешительных правил.
Начет Kerio - Я раньше в нем "души не чаял", а щас понял, что Керио - просто МАСТ ДАЙ!!! У программистов руки кривущие, kernel-mode driver очень корявый - замечено неоднократно многими пользователями (почитайте форум на сайте Керио - все ругаются, особенно русские :), а разработчики 0 внимания) - керио жрет 100% CPU, если с компа, например, начать че-нибудь копировать... И дело тут не в правилах FW, просто kernel-mode driver написан криво, и при большом количестве проходящих через него пакетов, тормозит безбожно...
Я даже дома поставил у себя ISA 2004, и я бы ни сказал, что он тяжелый... Работал на ура! (PS: только не надо кричать, что дома ISA - не нужно... У меня на компе 3 интерфейса и инет через VPN, 1 интерфейс смотрит в локалку, через VPN-сервак в ней - инет, другой интерфейс на остальные компы дома, третий - Bluetooth network, для КПК, нужжно было сделать, чтобы с BT и с домашних компов видели друг друга (правило route), чтобы с BT и с домашних компов ходили в локалку и в инет (NAT), никакой обычный FW этого сделать не позволяет... Если б инет был просто через гейт, еще можно было бы покрутить стандартными средсвами, а т.к. инет через VPN, т.е. "типа Dial-Up" подключение, а к локалке тоже доступаться надо, то тут нужен полноценный FW)
Короче - мой выбор - 2003 сервер + ISA 2004, в настройке очень проста и прозрачна, и СОВСЕМ НЕ ГРУЗИТ систему... В отличие от Керио... А старые версии керио не умеют работать с VPN passthrough... Поэтому тоже не катит...
Я даже дома поставил у себя ISA 2004, и я бы ни сказал, что он тяжелый... Работал на ура! (PS: только не надо кричать, что дома ISA - не нужно... У меня на компе 3 интерфейса и инет через VPN, 1 интерфейс смотрит в локалку, через VPN-сервак в ней - инет, другой интерфейс на остальные компы дома, третий - Bluetooth network, для КПК, нужжно было сделать, чтобы с BT и с домашних компов видели друг друга (правило route), чтобы с BT и с домашних компов ходили в локалку и в инет (NAT), никакой обычный FW этого сделать не позволяет... Если б инет был просто через гейт, еще можно было бы покрутить стандартными средсвами, а т.к. инет через VPN, т.е. "типа Dial-Up" подключение, а к локалке тоже доступаться надо, то тут нужен полноценный FW)
Короче - мой выбор - 2003 сервер + ISA 2004, в настройке очень проста и прозрачна, и СОВСЕМ НЕ ГРУЗИТ систему... В отличие от Керио... А старые версии керио не умеют работать с VPN passthrough... Поэтому тоже не катит...
ННП
интересная тема - я вот тоже озаботился поиском файрвола для домашней сетки. вот еще думаю
интересная тема - я вот тоже озаботился поиском файрвола для домашней сетки. вот еще думаю
Если у тебя не больше одного интерфейса и роутить твоя домашняя машина не будет, то думаю, что ISA тебе дома нах не нужна...
2 netghost:
Зачем людей смущаешь?
Щас как все начнут твою ИСУ на домашние компы ставить...
2 netghost:
Зачем людей смущаешь?
Щас как все начнут твою ИСУ на домашние компы ставить...
А что? Пускай учатся!На самом деле интересно...
Многие знакомые до сих пор путают home firewall и firewallHome firewall - это аля Outpost, которая работает как фильтр портов + фильтр приложений... Никаких средств роутинга, ната и т.д. home firewall'ы не умеют. Firewall - это WinGate, UserGate, WinRoute, ISA - те, что позволяют разделять доступ к инету... Но не фильтруют по приложениям... Это не их задача. У каждого из этих FW есть как + так и -...
Многие знакомые до сих пор путают home firewall и firewallHome firewall - это аля Outpost, которая работает как фильтр портов + фильтр приложений... Никаких средств роутинга, ната и т.д. home firewall'ы не умеют. Firewall - это WinGate, UserGate, WinRoute, ISA - те, что позволяют разделять доступ к инету... Но не фильтруют по приложениям... Это не их задача. У каждого из этих FW есть как + так и -...