kay
непонятен.
если на винроуте поднять нат, то прокси прописывать на криентах не нужно. Нужно только шлюз прописать. И поставь галку "dns forwarder"

Black_NAiL
это понятно, но в случае, если родной инет пашет только через проксю, то эту проксю нужно прописать в WinRoute, а прописать можно только в случае, если использовать non-transparent proxy.

kay
ну тогда подыми DHCP-сервис. И там пропиши все настройки сетей у клиента. А на клиентах оставь все в "авто".

Black_NAiL
всё равно не понял, как DHCP связан с настройками каскада прокси в WinRoute?
Нет, плохо объяснил задачу... Ладно, попробую ещё раз. Требуется создать прокси каскад в WinRoute, но каскад создаётся только если в WinRoute использовать non-transparent proxy, а мне нужно, чтобы каскад работал с transparent proxy, чтобы на клиентских машинах не нужно было в браузере прописывать прокси на WinRoute. А уж о почтовых клиентах я промолчу, только не застявляйте в таком случае пользоваться FreeCap.

kay
никак.
я тебе просто предлагаю другое решение проблемы. Если у тебя в винроуте нат не подымается при каскадном прокси, и приходится прописывать прокси винроута у клиентов - то поднимаем dhcp и в нем прописывам прокси, который сам dhcp будет прописывать всем клиентам на автомате.

Black_NAiL
что-то я не видел там такой настройки =/ Видел только Default gateway и DNS. Чтобы там проксик был - не видел. Можешь поподробнее описать, где и как?

P.S. Может в правиле для NAT в Destination прописать айпишник проксика провайдера? Сработает ли это? И как быть с авторизайией? (пров требует авторизации)

Black_NAiL, ты знаешь kay прав. Чеез dhcp можно автоматом прописывать шлюз по умолчанию и dns, прокси прописывается в браузере.

kay, по моему единственный вариант руками или каким то образом раскидывать конфиги на все клиенты... Зависит от того какой браузер все пользуют?

нужно, чтобы у клиентов The Bat! работал, т.к. там прокси нет. А если местный проксик выключен, то они могли бы без проблем лезть через модем.
В принципе это всё возможно, но лучший вариант: WinRoute с прозрачным прокси и каскадом, далее идёт FreeCap, который частенько глючит, а ещё дальше идёт настройка The Bat! на прокси-сервер, но там для каждого ящика нужно настройки менять, а у некоторых по 5-10 ящиков нужно настраивать.

Cartman
верно. Я просто привык уже к AD и политикам....там можно прописать свойства эксплорера для всех клиентов...каюсь :beer:
kay
в твоем случае - бат на самой тачке с роутом бегает?
Если да, то нат можно поднять нормальный, только воткнув второй NIC для локалки в тачку с роутом, или поднять ису, но это уже другая тема.
Если нет, то никаких натов нормальных поднять не удастся. Лучше вломить прову - это ж прошлый век, инет по прокси раздавать! :mad:
VPN уже везде.

Помогите плиз разобраться с керио, установил версия 6.1.1 визардом установил подключение, у пользователей работает инет. С машины с проксей принимаю почту. А с машин пользователей вообще не достака не отправка не работает.
Присутствует домен на w2k, инет на dsl модеме, провы для дсл выделил след 192.168.0.100 ну и например их ДСЛ-сервы 11.12.123.22, 11.12.123.23
в соединении которое смотрит инет настройки такие ip 192.168.0.99 NM 255.255.255.0, gw 192.168.0.100 и dns провов.
сет в локал 192.168.0.12, nm 255.255.255.0 gw не существует, dns сервак с AD 192.168.0.1
У пользователей пишет что не может обнаружить узел с почтой

Стоит версия 6.1.1 на XPsp2,выдает ошибку адаптера
хотя vpn адаптер не устанавливаю при установки,как решить проблему?

Sheik
Если у почтовика есть возможность настройки прокси (аутлук, например) то просто укажи адрес главной машины; если таких настроек нет (the bat), то наиболее легкий вариант на машине с винраутом поднять нат только для почты (110 и 25 порты)
Кстати, пользователи через прокси ходят в инет или нет

Хочу тебя огорчить но Bat работать через прокси винроута не будет. Или нужно nat пользовать или никак. Если пров дает только http прокси - то тебе ничего не поможет. Если что-то еще - пиши.

Sheik, давай подробнее о каждой сетевой и куда модем воткнут?
В комп с картой которая 192,168,0,1? Если так - то ты должен указать этот адрес шлюзом на машинах клиантах. И в свойствах этой карты шлюз не должен быть прописан. Шлюз прописываешь только на карте с модемом. Он и будет шлюзом по умолчанию.

koshmin, удали из системы vpn адаптер, он все равно становится, хоть и в отключенном стостоянии.

ПОльзователеи ходят в нет через керио, тут все нормально и без проблем, а вот с почтой трабл...
dsl подключен в хаб.
на сетевухе в лан я уже писал
сет в локал 192.168.0.12, nm 255.255.255.0 gw не существует, dns сервак с AD 192.168.0.1
на машинах клиентов пишу шлюз лана 192.168.0.12

Sheik, тебе надо в nat и firefall traffic добавить host - ip твоего модема. И тогда все заработает.

Откуда удалить то просто из оборудования,или в реестре чистить?Спасибо!

Sheik, а вот это ты зря, почитай все таки правила...

koshmin, просто удали из оборудования...

Cartman извиняюсь за спасиб, вчера просто неподумавши написал, в общем прописал я в политиках нат и firewall шлюз с дсл модема все равно не помогает. -:(((

Sheik, да не шлюз... А ip модема... Давай скрин правил... Так проще будет, только не атачем, щас с этим траблы...
Клади на халявный хостинг куда нить...

Не совсм так. Можно пользовать что-нить вроде FreeCap.

Парни, такой вопрос. Полазил по директориям ВинРоута в поисках шаблона странички которая отображается в вэб доступе и нифига не нашёл. Вопрос такой - как можно отредактировать страницу вэб-доступа в винроуте (6.0.9)?

WinRoute Firewall\weblang\en.res (ru.res)

Хотя можно просто в правилах вставить html код.
Вкладка ADVANCED -> Show Denial page ->

<font color=black size=2>САЙТ СОДЕРЖИТ В НАЗВАНИИ ЗАПРЕЩЕНЫЕ СЛОВА</font><br><br><font color=red size=3><b>ЗАПРЕЩЕН К ПРОСМОТРУ !</b></font><br><br><font color=black size=2>С ПОНЕДЕЛЬНИКА ПО ПЯТНИЦУ С 09.00 ДО 18.00</font>

создал пользоват,запихнул их в группу с доступом (no access to administration) ставлю (account disabled) применить,они все идут
подскажите как отключить от инета по uzeram

и этой группе в запретах сайтов поставь * :claps:

можно чуть подробней?

R&A, а смысл? Это только на http повлияет, почта и проче сервисы будут работать.

koshmin, слушай, а почему просто не заводить для этих пользователей акаунты? Сделать только тем кому инет нужен и запретить ходить в инет без логина в винроут.

создал пользователей,запихнул их в группу с доступом (no access to administration) ставлю (account disabled) применить,отключаю одного но он все равно идет.Смотрю в логах на порнуху лезет,хотя правила включены.
Как же сделать чтобы конкретного отключить?

koshmin, а у тебя стоит обязательная аутентификация пользователей?

koshmin
Скорее всего они у тебя не через прокси ходят, а через НАТ. Открой доступ только через прокси

Seva, если открыт доступ только аутентифицированым юзерам - то и через NAT ходить они не смогут.

Господа ткните носом,где это?

koshmin, user and groups, users, закладка Auhentication Options, галка Always require... Ну и так далее...

подскажите как разрулить правила
http policy->forbidden words
установлено:
erotica 40
erotic 40
deny pages if their weight reaches 30

http://eroticasearch.net/
http://www.erotica-la.com/

открываются на ура
???

uone, а правило запрещающее открытие страниц с превышением веса слов ты создал?
В url rules сделай дропающее правило, в последней закладке поставь галку Deny web pages... И так далее...

Наблюдается следующая странность:
KFW настроен на разрешение практически всего и настройки более не трогаем. Работает устойчиво, замечаний нет, но соединение по HTTPS (любой адрес, https://adwords.google.com/select/ , например) с любого хоста, кроме FIREWALL, возможно только через Proxy. Если DIRECT (с NAT, ес-но), то после паузы в несколько минут IE6 сообщает о невозможности подключения. Переключение DIRECT - PROXY делаем в настройках IE (ADDR KFW:3128 - автонастройка, у KWF в свойствах PROXY авто включено на DIRECT). С хоста KFW подключайся как хочется. В STATUS HOST/USER в случае удачного соединения видим несколько соединений по HTTPS c каких - нибудь портов на порт 443, а в случае неудачного - одно соединение.
Пожалуйста, кто - нибудь, проверьте эту ситуацию у себя.
И, вообще, SSL должен работать с NAT?
А с двойным NAT?
Заранее спасибо.

zenzin, убери protocol inspector для https. Там он выставлен http и из за этого нифига не пашет. У тебя видимо какая-то из 5-ых версий? В 6-ых она по дефолту отрублена... ;)

http policy proxy server ставлю winroute proxy server
в user Auhentication Options ставлю галка Always require
на компах пользователей начинает спрашивать логин и пороль для доступа,что сделать?что бы можно было по одному отключать?

Что значит по одному отключать? Заходи да отрурубай их. Они же не смогут залогиниться, если акаунт отключен.

TO CARTMAN:

KWF 6.1.2 b.603
protocol inspector для https Default на None результата нет.
protocol inspector для NAT аналогично. Это без перезагрузки.

TO KOSHMIN:
Еще вариант:
Traffic Polcy - New rule - Source(Имя Хоста) - Destination(Имя Интерфейса INTERNET) - Service(Any) - Action(Deny).
На каждый хост по записи. Включил - Выключил...

Это ты где такое смотришь? Смотри в Services, там нет ни Default ни NAT.