Итак. Имеетцо локалка отделенная от интернета машиной с керио. Есть основное правило (оно самое верхнее) которое которое раздает интеренет в локалку по определенным портам и сервисам, соответственно на этом правиле работает НАТ. Вопрос: какое создать правило что бы не нарушив текущей схемы работы можно было качать и раздвать с p2p сетей? Эта возможность нужна нескольким адресам в сети.
PS Sumjohn, ты ж керио хорошо знаешь, посоветуй что нить.[Ответ]
][irurg 14:15 24.06.2008
имхо просто порт для p2p клиента добавить в указанное правило, и с любой машины можно будет выходить. или нельзя что бы с любой?
[Ответ]
cybeR 15:13 24.06.2008
][irurg хм, все дело в том что входящий траффик нельзя открывать полностью. т.е атавить Any (а то мне на почту валяится спам с моего же IP) Ды и а бузы посыпались. Просто дело в том что торрент-клиент принимает по по огромному диапазону портов. которые для всех открвать низя. дробавлю в настройках керио опция "Блокипровать P2p траффик" - отключена
[Ответ]
][irurg 15:22 24.06.2008
cybeR, а если делать отдельным правилом?
dest any
source набор_ип опред в адресс груп
service any или набор нужных портов
и ставить это первым правилом..
у мя дома мюторрент работает через керио, ничего там сложного в настройке не было, что то типа того что я написал
[Ответ]
cybeR 07:25 25.06.2008
Сообщение от ][irurg: cybeR, а если делать отдельным правилом?
Я в обшщем и хочу сделать отдеельным правилом,
просто представь. Грубо:
Lan->Internet->выбранные порты и сервисы->permit-> NAT -это самое первое которое раздает инет.
а тут нужно правило которое не нарушаеть работы первого и пзволялобы полноценно работать с торрентами
[Ответ]
][irurg 08:12 25.06.2008
ну так я тебе уже описал как это вижу...
твое правило остается, но добавляешь первым правило которое разрешает соединение ограниченному числу твоих компов (набор айпи) с любым адресом в инете (ну или диапазон айпи где сидят другие торрент клиенты и сервера), указываешь нужные тебе порты и пермит. когда комп пытается выйти в инет, керио проверит первое правило, если комп попал в указанный диапазон - правило сработает, если не попал - керио перейдет ко второму правилу.
если хочешь можешь добавить к этому правилу НАТ, для маскировки твоих компов общим апйпи шлюза. Т.е. один набор компов будет работать по 1 правилу, для остальных ничего не изменится
или может я не догоняю чего в твоем вопросе?
[Ответ]
cybeR 13:34 25.06.2008
еще один нат не покатит. Ды в портах ставить Any, даже для одного компа низя т.к через открытые порты всякая хрень на него а потом в локалку пролезет. А я только всякие спам боты почистил и вируссы.
[Ответ]
][irurg 14:06 25.06.2008
Сообщение от cybeR:
еще один нат не покатит. Ды в портах ставить Any,
вы невнимательны. я писал -
Сообщение от :
указываешь нужные тебе порты
соверщенно согласен что открывать ВСЕ порты не стоит, поэтому и не советовал этого делать.
а нат можете лепить хоть к каждому правилу как и порт маппинг. попробуйте тогда маппинг портов пропишите на машины
[Ответ]
cybeR 09:41 26.06.2008
Сообщение от ][irurg:
а нат можете лепить хоть к каждому правилу
У меня только 1 п\верхний нат работает а остальные нет
[Ответ]
][irurg 11:12 26.06.2008
потому что
Сообщение от ][irurg:
керио проверит первое правило, если комп попал в указанный диапазон - правило сработает
и остальные правила не проверяет после этого. иерархия.
[Ответ]
gene 09:53 02.07.2008
сама задача ставится по принципу и рыбку съесть и .. т.д..
Принцип работы торрента - возможность доступа клиента к ЛЮБЫМ портам в ЛЮБОМ адресном диапазоне. Ограничения могут быть, например: домолинковский торрент должен ограничиваться домолинкоскими адресами, если не хочется платить за внешку. Файервольные ограничения могут быть установлены только на входящие соединения, т.е. соединения для раздачи. При этом для каждого клиента в локалке должен быть установлен СВОЙ порт, а керио должен мапить входящие на конкретный комп. Так что разрешить клиентам торренты и сохранить ограничения по сервисам нельзя.
[Ответ]
][irurg 11:03 02.07.2008
gene, но можно ввести ограничение на адресное пространство за фаейрволлом? - т.е. часть компов в локалке будет иметь полный доступ, а часть продолжать работать по старым правилам. я собствено это предлагал
[Ответ]
pegas1981 15:02 02.07.2008
как я понял, вы к примеру хотите работу торрентов. тогда запоминаете входящий порт программы, к примеру 1234. далее топаем в керио...
дополнительные настройки:
отключить блокировку P2P
новый сервис: (имя: P2P, протокол: TCP/UDP, протокол-инспектор: нет, порт-источник: любой, порт-назначения: 1234)
новое правило (имя: P2P, источник: внешний интерфейс, назначение: локальный интерфейс, сервис: P2P, аквивен, трансляция: ip-адрес пользователя с программой:порт1234).
затем топаем на модем и создаем правило перенаправления порта 1234 (или создать сервис с перенаправлением порта 1234)
ежели что непонятно будет, могу скрины скинуть. пиши в личку.
p.s. Керио 6.х., модем Dlink-500T
[Ответ]
gene 12:04 03.07.2008
Сообщение от ][irurg: gene, но можно ввести ограничение на адресное пространство за фаейрволлом? - т.е. часть компов в локалке будет иметь полный доступ, а часть продолжать работать по старым правилам. я собствено это предлагал
Ну, конечно, можно. Только смысла в этом нет. Любой троян, любая активация, да все, что угодно будет иметь прямой доступ в сеть. Лучше уж поднять клиента на самом файрволле и дать к нему доступ из локалки кому надо.
[Ответ]
