Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Флейм на общие темы » user gate для чайников. help! |
<<Назад Вперед>> | Страницы: 1 2 * | Печать |
cactus
Advanced Member
Откуда: Темрюк Всего сообщений: 726 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 сен. 2006 |
Кроме windows существуют и другие ОС, если что |
Fe-Restorator |
NEW! Сообщение отправлено: 22 мая 2015 20:02 Сообщение отредактировано: 22 мая 2015 20:17
KennyDies написал: Тот-же Kerio Gateway, с точностью до байта! Получше юзергейта, но тож глюкало знатное! Ни один из клонов-выкидышей керио не смог по качеству дорасти хотя-б до оригинала, то-бишь до самого керио. Еще есть QBIK WinGate Кстати, маленький хинт: ISA сервер не имеет ключа. Вообще. Его можно ставить на серверную платформу, именно ключ сервера и будет ему "опознавательным маяком" для M$. Начинающему админу посоветую: 1) 8-ми ядерный сервак, с 16 гигами памяти (эт для начала) и обязательно с дополнительной сетевой карточкой на чипе от интела и скоростью до 100Мбит, чрез неё будет поступать инет извне. 2) VmWare Hypervisor с бесплатным ключом (ограничение - автономный сервак без выполза в VSphere и т.п. "мега-ништяки" варькины, начинающему и "домашнему тестеру сетей" - за глаза хватит!) 3) Под гипервизором крутятся ДВЕ виртуалки: "Win8server" (отрада твоим "программистам" или как их там, по-матерному, кличут!) и "Win2k3server+ISA" 4) Настройка начинается с гипервизора, коему указываешь пользовать на вход и на менеджмент встроенные в мамку сетевые соскИ, ни в коем случае не дополнительную карточку. Создаёшь виртуалку под вин8, ей сетевые соски подключаешь полностью к виртуальному свичу. Никакую ОС пока-что не ставишь, рано. Создаёшь виртуалку под вин2к3, ей один сетевой сосок подключаешь во вирт-свич, а взамест второго указываешь юзать добавленную тобой сетевушку, это важно. 5) Ставишь ОС вин8, поднимаешь под ней домен, DNS и DHCP, с нужной адресацией подсети, только не с той, что уже используется вовне гипервизора! nnn.nnn.0.0 сейчас юзается вовне гипа, но nnn.nnn.100.0 внутри гипа, хосты потом "подтянутся сами, получив новую инфу из DHCP. Настраиваешь серваку вин8 статический IP вида nnn.nnn.100.1 6) Ставишь ОС вин2к3 на второй виртуалке, поднимаешь на ней службу DNS, внимание: БЕЗ СОЗДАНИЯ ЗОН, вообще. Потом будет форвардером в инет. Настраиваешь серваку вин2k3 внутренний статический IP вида nnn.nnn.100.11 на виртадаптере, смотрящем во вирт-свич, и внешний статический IP вида nnn.nnn.0.mmm из диапазона, действующего в нонешней офисной сети (или выданный провайдером, если сети в офисе ещё нет вовсе) на адаптере "физически выделенная сетевая карточка", та самая, подключённая под виртмашину. 7) Ставишь на w2k3 проксю ISAserver (2004, как более новую из). Настраиваешь "внешнюю сеть" на внешний адаптер, см пункт выше, остальное - настроится как "сеть внутренняя, защищаемая". 8) Читаешь книжку и настраиваешь ISAсервер, по всем правилам. Как только настроил - инет появится во внутренней виртсети. 9)Переходи к настройке сервака вин8, дооснащай его. Всячески. (WSUS, например...) Купи книжку по вин8 и настраивай по ней, а жалко монет - листай инет, там тож всё прочесть можно. тем паче - инет у тя уже есть. 10) Проверил настройки - перекинь пару хостов в новую сеть и погоняй её с недельку. Выяви косяки и исправь их. 11) Теперь пришло время трансфера. ОБЪЯВЛЯЕШЬ ТРЁХМИНУТНЫЙ ДЕДЛАЙН, чтоб все юзеры сбросили всю инфу на сервер. ОБЪЯВЛЯЕШЬ ТРЁХЧАСОВОЙ ПЕРЕРЫВ, чтоб скопировать всю инфу со старого сервака на новый. Именно скопировать, чтоб старый сервак остался "активным резервом", на всякий случай. Чую, оба шага те придётся выполнять сверхурочно, т.е. после 18-00 и испарения планктона из офиса. Приготовь грязнющую швабру, пригодится! Трудоголиков гнать взашей, ибо на сей раз - они помеха и паразиты. 12) На физическом адаптере виртмашины вин2к3 меняешь IP на "выдаваемый провайдером", проверяешь настройки прокси и таблицу маршрутизации, и подключаешь сей адаптер напрямую ко входящей линии инета. Старая сетка и все клиенты теперь отрублены. Проверяешь работу вирт-серваков, наличие в них инета. 13) На старом серваке сбрасываешь всем юзерам их прароли в некий "дефолтный", например "p@ssw0rd", это поможет на следующем этапе. Не забудь предупредить пользователей, чтоб поутру не сношали тебя во все места. "Ваш пароль сменён на NNNNN, поутру система попросит вас сменить его снова, на любой, удобный вам". Как-то так. Можешь напечатать сей текст во второй половине листа А4 и, согнув "домиком" расставить по столам юзеров. Если умеешь, на этом-же этапе выполняется миграция пользователей на новый сервак. Это отдельная крупная тема, в двух словах не разъяснить. Мигрируют учётки, группы безопасности и прочая "паспортная инфа" на хост и клиента. Если не умеешь - придётся выполнять сие вручную, на этапе №16. 14) На старом серваке гасишь DHCP, и после сего даёшь хостам команду "сбросить сетевой кеш". Хосты выполняют и отваливаются от сети, ибо старого уже не помнят, а могший вразумить их DHCP погашен. 15) Переключаешь кабель внутренней сети со старого сервака на новый, т.е. теперь виртуальный "вин8" смотрит прямиком во внутриофисный аппаратный свич. 16) ОбегАешь все хосты, грузишь их и перенастраиваешь на новый домен, новый сервак, и т.п. Подгружаешь политики, ну и всё прочее. 17) За полчаса до прихода планктона в офис засыпаешь "мордой в клаву", да так, чтоб ещё час тебя добудиться не могли. Это обязательный пункт, ибо ещё полдня тебе бегать, вылавливать "глюки" юзверей, "а почему у меня ярлык больше ничего не кажет?" А нема старого сервака-то! Вот и не кажет. 18) Неделю держишь сеть "под нагрузкой", забиваешь "косяки" админским бубном. 19) Вырубаешь старый сервак. Если он одиночный - можно пренебречь старым доменом, ежли он "в доменном лесу", обязательно понижение в роли перед отключением. 20) Можешь выпить пива, да, "через нехочется", ибо работу сделал - празднуй! PS. Коллега, ansi, на вопросы типа "Урий, где у него кнопка?" я ессно не отвечаю, ибо RTFM. Без знаний в построении и настройке сетей - никакие "кнопки" не помогут, увы. Вдумчивое чтение материала займёт сутки. Ещё сутки на осмысление и повторное чтение избранных мест, "раскладки знаний по полкам чердака вашего мозга" как говорил Холмс. Третьи сутки - на тест и практику с оборудованием, ещё пару дней - на поднятие работоспособной сети, её обкатку. Далее - либо сносим и ставим всё "начисто", и это правильный вариант, ибо опыт уже есть, а тягать за собой хвосты из глюков - потом дороже обойдётся. Либо "ленимся" и запускаем тест-сборку в рабочем режиме (лучше не лениться, максимум один день на переустановку никому не повредит). |
Сейчас на форуме |
Fe-Restorator |
NEW! Сообщение отправлено: 22 мая 2015 20:04
cactus написал: Алгоритм тот-же, чуть изменится лишь специфика. Судя по "юзергейту", человечек мучает именно форточку... Кроме windows существуют и другие ОС, если что |
Сейчас на форуме |
ansi
Advanced Member
Откуда: Минск Всего сообщений: 1273 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 нояб. 2007 |
да мне собственно решить надобно только описанные две задачи в ЮзерГейт да и все. Я уже его поставил и наверное с ним буду разбираться. Вроде бы насколько говорят он проще всего в настройке... |
Fe-Restorator |
NEW! Сообщение отправлено: 24 мая 2015 20:27
ansi написал: "Как баран на новый UserGate" немного изменённая народная присказка. да мне собственно решить надобно только описанные две задачи |
Сейчас на форуме |
ansi
Advanced Member
Откуда: Минск Всего сообщений: 1273 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 нояб. 2007 |
ну, что тут сказать. Надо как-то перебросить трафик с интерфейса, где модем (192.168.0.1 - адрес сетевой, 192.168.0.254) на интерфейс LAN 192.168.1.117. Это надо создать правило для HTTP? В настройках портов. Ладно уж, можно забить пока на ограничения, блокирование соц сетей и прочей нечисти, лишь бы просто работал бы инет... User Gate 5.4 я сейчас мучаю... |
Fe-Restorator |
NEW! Сообщение отправлено: 27 мая 2015 12:40 Сообщение отредактировано: 27 мая 2015 12:47
http://static.entensys.com/man...5.4_ru.pdf Модем подвесить на 192.168.0.8, входящий интерфейс прокси - на 192.168.0.11, а выходящий в локалку интерфейс - на 192.168.97.11, соответственно адресация в локалке - 192.168.97.0/24 |
Сейчас на форуме |
ansi
Advanced Member
Откуда: Минск Всего сообщений: 1273 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 17 нояб. 2007 |
Использовал следующую инструкцию: Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран. Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим "Запретить" (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate Proxy&Firewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила. Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами: Источник - "LAN", назначение - "Любой", сервисы - ANY:FULL, действие - "Разрешить" Источник - "Любой", назначение - "LAN", сервисы - ANY:FULL, действие - "Разрешить" Затем создаём правило, которое откроет доступ в Интернет для шлюза: Источник - "WAN"; назначение - "Любой"; сервисы - ANY:FULL; действие - "Разрешить" Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так: Источник - "Любой"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить" И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило: Источник - "Любой"; назначение - "WAN"; сервисы - Any ICMP, RDP; действие - "Разрешить" Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно. Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT). Источник - "LAN"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"; выбираете пользователей или группы, которым необходимо предоставить доступ. Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз. Интересно, я настраивал user gate 5 аналогично этой инструкции (с сайта etensys), а нет на рабочих станциях вообще не работает... |
<<Назад Вперед>> | Страницы: 1 2 * | Печать |
Полигон-2 » Флейм на общие темы » user gate для чайников. help! |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |