Firewoll для виндового прокси
4589
19
Есть комп с 2000 professional, через который является прокси.Какой на него можно поставить фаервол? Пробовал Outpost, но так как это персональный фаервол, то он блокирует все транзитные пакеты, и я эту блокировку не нашел где отключать :хммм:
haz269
Ставить прокси на 2000 прф - изначально неправильное решение. Ставить нужно на 2000 сервер. А там можеш взграмоздить на него ISA.
haz269
К стати 2.5 оутпост вроде бы умеет с транзитными пакетами работать. Но сам я это не проверял.
haz269
ISA -- штука тяжеловатая.

Для мелкокорпоративного использования я бы порекомендовал Kerio WinRoute Firewall. Последние актуальные версии: 6.0х
Nestеr
версия 6 я бы сказал - тяжеловата для "легкой машины"... можно вполне обойтись winroute 4.2.x Очень лёгкий, абсолютно безглючный, и вполне надёжный NAT+Firewall
Barlog
Менять винду на 2000 сервер не очень хотелось бы, а вот оутпост 2.5 с транзитными пакетами тоже не работает, проверял, правда это была еще какая-то бета версия.
haz269
Ну если вам нужен прокси-сервер с ограничением в 10 однавременных подключений - то пожалуйста, пользуйте проф. :ухмылка:
Barlog
Там вся сетка 7 компов, и прокси в настоящее время это одна из рабочих станций, не лучший конечно вариант, но не я это делал, мне только приходится сейчас расхлебывать отсутствие фаервола :ухмылка: Если они когда-нибудь и доживут до количества компов больше 10 то можно будет подумать и об отдельном сервере:улыб:, а ближайший год-полтора я думаю ограничение 10 машин помехой не будет.
haz269
Напиши потом, на кого же пал твой выбор.
Интересно узнать.
Barlog
;)) Да что вы такое говорите.... причём тут подключения к машине... и сеансы прокси?? каким боком одно к другому??
Whale Beholding
Просто 2000 проф. не разрешает больше 10 одновременных подключений, для прокси не проверял, но для принтера точно:улыб:
haz269
Под 10-ю единовременными подключениями имеются ввиду 10 подключений К ШАРЕ (по которой работает и принтер).
Прокси, как правильно заметил Whale Beholding, имеет дело с транзитными пакетами, и ограничение действовать не должно.

(что ты ставить то решил в итоге?:улыб:)
haz269
;)) Ну... не нужно уж совсем прописные истины вещать.... речь то идёт не о подключении к w2k prof, а о количестве сессий на прокси, а это 2 большие разницы.
Nestеr
Пока попробую Kerio winroute firewall поставить, посмотрю на сколько он безглючный и функциональный. Если не понравится буду дальше искать.
ЗЫ Хотя если будет совсем безглючный тоже не очень хорошо, меньше работы меньше денег :спок:
haz269
ОФФ - обычно платят больше когда тебя меньше видят возле серверов с взлохмаченной головой и выражением непонимания в глазах, когда ты приходишь только за зарплатой, а аптайм сравним с пенсионным возрастом (тока инфузорий туфелек и прочих мотыльков однодневок не берем в расчет) )), керь работает достаточно безглючно, если ровно стоит ось и железо сделано не монахами в мастерских Северного Шао Линя
haz269
Пробовал Outpost, но так как это персональный фаервол, то он блокирует все транзитные пакеты, и я эту блокировку не нашел где отключать :хммм:
Идем в "Параметры" -- "Системные" -- "Общие правила". Открывается список имеющихся правил, нужно добавить 2 правила.
Правило №1 Список юзеров, которым разрешен выход в интернет.
1. Протокол - TCP
2. Направление - Входящее
3. Удаленный адрес - (список IP-адресов локальных, которым разрешен выход в инет)
4. Разрешить эти данные.
Правило №2 Список разрешенных сервисов (портов)
1. Протокол - TCP
2. Направление - Исходящее
3. Удаленный порт - (список разрешенных портов), например (FTP, SMTP, HTTP, HTTPS, SSL, POP3S, SOCKS, PROXY:3128, PROXY:8008, PROXY:8080, PROXY:8088, 5190, POP3)
4. Разрешить эти данные.

Создаешь эти правила и поднимаешь их к списку разрешительных правил.
haz269
Начет Kerio - Я раньше в нем "души не чаял", а щас понял, что Керио - просто МАСТ ДАЙ!!! У программистов руки кривущие, kernel-mode driver очень корявый - замечено неоднократно многими пользователями (почитайте форум на сайте Керио - все ругаются, особенно русские :), а разработчики 0 внимания) - керио жрет 100% CPU, если с компа, например, начать че-нибудь копировать... И дело тут не в правилах FW, просто kernel-mode driver написан криво, и при большом количестве проходящих через него пакетов, тормозит безбожно...

Я даже дома поставил у себя ISA 2004, и я бы ни сказал, что он тяжелый... Работал на ура! (PS: только не надо кричать, что дома ISA - не нужно... У меня на компе 3 интерфейса и инет через VPN, 1 интерфейс смотрит в локалку, через VPN-сервак в ней - инет, другой интерфейс на остальные компы дома, третий - Bluetooth network, для КПК, нужжно было сделать, чтобы с BT и с домашних компов видели друг друга (правило route), чтобы с BT и с домашних компов ходили в локалку и в инет (NAT), никакой обычный FW этого сделать не позволяет... Если б инет был просто через гейт, еще можно было бы покрутить стандартными средсвами, а т.к. инет через VPN, т.е. "типа Dial-Up" подключение, а к локалке тоже доступаться надо, то тут нужен полноценный FW)

Короче - мой выбор - 2003 сервер + ISA 2004, в настройке очень проста и прозрачна, и СОВСЕМ НЕ ГРУЗИТ систему... В отличие от Керио... А старые версии керио не умеют работать с VPN passthrough... Поэтому тоже не катит...
netghost
ННП
интересная тема - я вот тоже озаботился поиском файрвола для домашней сетки. вот еще думаю
AKKRILL
Если у тебя не больше одного интерфейса и роутить твоя домашняя машина не будет, то думаю, что ISA тебе дома нах не нужна...

2 netghost:
Зачем людей смущаешь?:улыб:
Щас как все начнут твою ИСУ на домашние компы ставить...:миг:
Nestеr
А что? Пускай учатся!:улыб:На самом деле интересно...:миг:

Многие знакомые до сих пор путают home firewall и firewall:миг:Home firewall - это аля Outpost, которая работает как фильтр портов + фильтр приложений... Никаких средств роутинга, ната и т.д. home firewall'ы не умеют. Firewall - это WinGate, UserGate, WinRoute, ISA - те, что позволяют разделять доступ к инету... Но не фильтруют по приложениям... Это не их задача. У каждого из этих FW есть как + так и -...