SquidNT
|
Gvan |
Отправлено: Понедельник, 14 Июля 2008, 12:02 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата(NALIM @ Пятница, 04 Июля 2008, 1:48) скрид виндовый может работать как NAT ???? к сожалению, как нат (transparent) в чистом виде он работать не может чтобы это заработатло, нужно ставить нат (виндовый не годится), на котором можно организовать маппинг портов, т.е. нужно ловить обращения в интернет на 80 порт и заворачивать, допустим, на 127.0.0.1 tcp/3128... Это умеет делать Lan2Net. Только вот стабильность работы Lan2Net, при количестве пользователей более 15, оставляет желать лучшего |
|
Форум: Серверное ПО
· Просмотр сообщения: #88925
· Ответов: 6
· Просмотров: 97434
|
WIPFW
|
Gvan |
Отправлено: Вторник, 22 Апреля 2008, 14:29 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Доброго дня! Никто не сталкивался с WIPFW ( http://wipfw.sourceforge.net/index-ru.html)..? Хочу попробовать установить его на win2k3 с поднятым NAT'ом... Интересует ответ на вопрос с чего начать А ещё лучше пример конфига Исходные данные: локальная сеть 192.168.0.0/24 локальный адрес сервера: 192.168.0.15 адрес интерфейса, который смотрит наружу: 62.62.62.62 Нужно, чтобы в локальной сети и с самого сервера были доступны следующие сервисы: http, https, pop3, smtp, dns и ftp. А также было бы хорошо, чтобы были доступны все исходящие icmp-запросы, а снаружи сервер бы не пинговался... Очень желательно, чтобы все события записывались бы в лог... Спасибо! |
|
Форум: Локальные сети, безопасность, лицензирование
· Просмотр сообщения: #88326
· Ответов: 0
· Просмотров: 5114
|
SquidNT
|
Gvan |
Отправлено: Понедельник, 21 Апреля 2008, 14:52 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Для тех, кому интересно, выкладываю настройки сквида. Как и в ситуации с OpenVPN, по сквиду информации много, но на сбор того, что нужно, уходит масса времени В данном посте постараюсь рассказать, как сделано у меня и как это работает. Всё, что приведено ниже работает. Не стоит рассматривать мой пример, как единственно правильный, т.к. вариантов может быть множество. Я привожу подобный пример только для того, чтобы помочь всем, кто впервые столкнулся с подобным зверем, с ответом на вопрос “с чего начать”. Исходные данные.Есть 2 офиса, какое-то количество vpn-юзеров, пара терминальных серверов с “плавающим” количеством терминальных пользователей. ОС пользователей – WinXP, терминалы – Win2k3, впн построен на OpenVPN. Браузеры у доменных пользователей в офисах и на терминалах – IE 6.0 и FrontMotion Firefox, адрес прокси назначается групповой политикой. Адреса: локальные сети офисов 192.168.20.0/24 и 192.168.50.0/24 впн-сеть: 10.10.10.0/24 терминалы в главном офисе: 192.168.20.140, 192.168.20.29 прокси-сервер в главном офисе: 192.168.20.150 Задачи и условия.1. “поднять” бесплатный и надежный прокси, через который должны ходить все пользователи. 2. запретить посещение некоторых сайтов 3. запретить закачку некоторых типов файлов 4. запретить использование “левых” http-прокси 5. запретить использование некоторых почтовых сервисов 6. запретить icq 7. обеспечить авторизацию пользователей на терминальном сервере 8. на vpn-пользователей не должны действовать никакие ограничения по запретам, за исключением обращений на неизвестные порты. 9. для всех запретов необходимо предусмотреть возможность исключений 10. собирать статистику по использованию ынтырнета каждый день и суммарную за месяц. Реализация.Скачиваем SquidNT ( http://www.acmeconsulting.it/SquidNT/). Распаковываем его в корень диска D: ( d:squid), в моём примере все пути указывают на этот путь. Установка службы: d:\squid\sbin\squid.exe -i -f d:/squid/etc/squid.conf -n Squid26_12Создание кэша: d:\squid\sbin\squid.exe -z -f d:/squid/etc/squid.confПривожу пример конфигурационного файла (d:\squid\etc\squid.conf), который удовлетворяет всем вышеперечисленным условиям (чтобы сэкономить место, я вырезал некоторые закомментированные дефолтовые настройки). squid.conf# NETWORK OPTIONS # -----------------------------------------------------------------------------
# TAG: http_port # Прокси ждёт обращений по 80 порту на локальном интерфейсе http_port 192.168.20.250:80 # Для пользователей, использующих NAT, все обращения по 80 порту перенаправляются # NAT’ом на 127.0.0.1:3128 (“прозрачный” прокси). http_port 127.0.0.1:3128 transparent
# TAG: icp_port # The port number where Squid sends and receives ICP queries to # and from neighbor caches. Default is 3130. To disable use # "0". May be overridden with -u on the command line. # #Default: # icp_port 3130 icp_port 0
# TAG: hierarchy_stoplist # A list of words which, if found in a URL, cause the object to # be handled directly by this cache. In other words, use this # to not query neighbor caches for certain objects. You may # list this option multiple times. Note: never_direct overrides # this option. #We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ?
# TAG: cache # A list of ACL elements which, if matched, cause the request to # not be satisfied from the cache and the reply to not be cached. # In other words, use this to force certain objects to never be cached. # # You must use the word 'DENY' to indicate the ACL names which should # NOT be cached. # # Default is to allow all to be cached #We recommend you to use the following two lines. acl QUERY urlpath_regex cgi-bin ? cache deny QUERY
# TAG: broken_vary_encoding # Many servers have broken support for on-the-fly Content-Encoding, # returning the same ETag on both plain and gzip:ed variants. # Vary replies matching this access list will have the cache split # on the Accept-Encoding header of the request and not trusting the # ETag to be unique. # # Apache mod_gzip and mod_deflate known to be broken so don't trust # Apache to signal ETag correctly on such responses acl apache rep_header Server ^Apache broken_vary_encoding allow apache
# OPTIONS WHICH AFFECT THE CACHE SIZE # -----------------------------------------------------------------------------
# TAG: cache_mem (bytes) #Default: # cache_mem 8 MB cache_mem 30 MB
# TAG: maximum_object_size (bytes) #Default: # maximum_object_size 4096 KB maximum_object_size 8192 KB
# LOGFILE PATHNAMES AND CACHE DIRECTORIES # -----------------------------------------------------------------------------
# TAG: cache_dir #Default: #cache_dir ufs d:/squid/var/cache 100 16 256 cache_dir ufs d:/squid/var/cache 4096 16 256
# TAG: access_log # These files log client request activities. Has a line every HTTP or # ICP request. The format is: # access_log <filepath> [<logformat name> [acl acl ...]] # To log the request via syslog specify a filepath of "syslog" access_log d:/squid/var/logs/access.log squid
# TAG: cache_log # Cache logging file. This is where general information about # your cache's behavior goes. You can increase the amount of data # logged to this file with the "debug_options" tag below. cache_log d:/squid/var/logs/cache.log
# TAG: cache_store_log # Logs the activities of the storage manager. Shows which # objects are ejected from the cache, and which objects are # saved and for how long. To disable, enter "none". There are # not really utilities to analyze this data, so you can safely # disable it. cache_store_log none
# TAG: emulate_httpd_log on|off # The Cache can emulate the log file format which many 'httpd' # programs use. To disable/enable this emulation, set # emulate_httpd_log to 'off' or 'on'. The default # is to use the native log format since it includes useful # information Squid-specific log analyzers use. # #Default: # emulate_httpd_log off emulate_httpd_log on
# TAG: mime_table # Pathname to Squid's MIME table. You shouldn't need to change # this, but the default file contains examples and formatting # information if you do. # #Default: mime_table d:/squid/etc/mime.conf
# TAG: pid_filename # A filename to write the process-id to. To disable, enter "none". #Default: #pid_filename none pid_filename d:/squid/var/logs/squid.pid
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS # -----------------------------------------------------------------------------
# TAG: ftp_user # If you want the anonymous login password to be more informative # (and enable the use of picky ftp servers), set this to something # reasonable for your domain, like wwwuser@somewhere.net #Default: #ftp_user anonymous@user.com ftp_user Squid@
# TAG: diskd_program # Specify the location of the diskd executable. # Note that this is only useful if you have compiled in # diskd as one of the store io modules. # diskd_program d:/squid/libexec/diskd-daemon.exe
# TAG: unlinkd_program # Specify the location of the executable for file deletion process. # unlinkd_program d:/squid/libexec/unlinkd.exe
# TAG: auth_param # В оригинальном файле в дистрибутиве описаны все методы аутентификации # В примере используется мой самописный js-скрипт для basic аутентификации, # если он Вас не устраивает, можете написать что-то сво Я только изложу идею. # Принцип работы скрипта примитивен: в памяти постоянно (за счёт бесконечного # цикла) висит процесс, который ждет, когда пользователь введёт имя и пароль. # Потом сквид подпихивает имя и пароль скрипту (они подпихиваются в виде строки, # где имя и пароль разделены пробелом). Когда скрипт получает что-то на вход, # он проверяет перебором соответствие полученной строки из сквида и # строки из файлика с логин/паролями auth.conf. Если соответствие найдено, то сквиду # в выходном потоке выдаётся “OK” (т.е. авторизация пройдена успешно), # если соответствий не найдено, то – “ERR”. # В скрипте Вы можете подправить параметры, которые отвечают за запись в # журнал приложений виндовса факты авторизации. Для себя я оставил только # запись в журнал неудачных попыток авторизации.
auth_param basic program c:/winnt/system32/cscript.exe //B //h:cscript //nologo d:/squid/etc/auth.js d:/squid/etc/auth.conf auth_param basic children 5 auth_param basic realm Squid-proxy authentication auth_param basic credentialsttl 2 hours auth_param basic casesensitive off
# ACCESS CONTROLS # -----------------------------------------------------------------------------
# TAG: acl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8
#---------- P O R T S list----------------------------- acl SSL_ports port 443 5190 #ports for method CONNECT acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl CONNECT method CONNECT
# TAG: http_access # Allowing or Denying access based on defined access lists # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager
#---------- P O R T S access--------------------------- # Запрет всех портов, за исключением Safe_ports http_access deny !Safe_ports # Запрет метода connect по всем портам, за исключением SSL_ports http_access deny CONNECT !SSL_ports
#----------------- VPN (BEGIN) -------------- # список ip-адресов vpn-сети находится в файле acl vpn src "d:/squid/etc/ip_vpn.txt" # разрешить доступ пользователям vpn-сети http_access allow vpn #----------------- VPN (END) ----------------
#----------------- ICQ (BEGIN) -------------- # список ip-адресов кому разрешено (в файле ip_icq_allow.txt) и запрещено (ip_icq_deny.txt) # пользоваться ICQ acl ip_icq_allow src "d:/squid/etc/ip_icq_allow.txt" acl ip_icq_deny src "d:/squid/etc/ip_icq_deny.txt" # подсеть и домен ICQ acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16 acl ICQ_DOMAIN url_regex icq.com
# разрешить icq группе ip_icq_allow http_access allow CONNECT ICQ_ADDR ip_icq_allow http_access allow ICQ_DOMAIN ip_icq_allow
# запретить icq группе ip_icq_deny http_access deny CONNECT ICQ_ADDR ip_icq_deny #----------------- ICQ (END) ----------------
#---- FITERS list (BEGIN)----------------------------------------------------------------------- #список запрещенных url acl block_url url_regex "d:/squid/etc/block_url.txt" #список запрещенных url прокси acl block_free_proxy url_regex "d:/squid/etc/block_free_proxy.txt" #список запрещенных расширений файлов acl block_url_extention_file urlpath_regex -i "d:/squid/etc/block_url_extention-files.txt" #список разрешенных почтовых url acl mail_white url_regex "d:/squid/etc/mail_white.txt" #список запрещенных почтовых url acl mail_black url_regex "d:/squid/etc/mail_black.txt" #проблемные url, которые неправильно отображаются при применении блокирующих по url фильтров acl gemor_sites url_regex *rbc.ru* #---- FITERS list (END)-----------------------------------------------------------------------
#----------- IP list (BEGIN) --------------------------------------------- #ip отдел ИТ acl it_dept src "d:/squid/etc/ip_it_dept.txt"
#ip список разрешено ходить на запрещённые сайты acl url_allow src "d:/squid/etc/ip_url_allow.txt"
#ip разрешено ходить на почтовые сайты acl webmail_allow src "d:/squid/etc/ip_webmail_allow.txt"
#ip всех локальных сетей acl our_networks src "d:/squid/etc/ip_our_networks.txt"
#ip где требовать авторизацию acl ip_need_auth src "d:/squid/etc/ip_need_auth.txt" #----------- IP list (END) ---------------------------------------------
#----------- IP access (BEGIN) ------------------------------------------- #открывать геморные сайты без проверок http_access allow gemor_sites !ip_need_auth
#блокировки по url с исключением (см. IP list) http_access deny block_url !it_dept !url_allow !ip_need_auth
#блокировки по url фри-прокси с исключением (см. IP list) http_access deny block_free_proxy !it_dept !ip_need_auth
#блокировки по расширению файла в url с исключением (см. IP list) http_access deny block_url_extention_file !it_dept !ip_need_auth
#разрешенные адреса web-mail http_access allow mail_white !ip_need_auth
#блокировки web-mail по url с исключением (см. IP list) http_access deny mail_black !webmail_allow !it_dept !ip_need_auth
#разрешить доступ группе our_networks http_access allow our_networks !ip_need_auth #----------- IP access (END) ----------------------------------------
#----------- AUTH list (BEGIN) ----------------------------------------------------------- #acl запрашивать авторизацию acl parol proxy_auth REQUIRED
#группы авторизованных юзеров (аналогия с IP list, только в файлах имена пользователей) acl auth_users_allow proxy_auth "d:/squid/etc/auth_url_allow.txt" acl auth_it_dept proxy_auth "d:/squid/etc/auth_it_dept.txt" acl auth_webmail_allow proxy_auth "d:/squid/etc/auth_webmail_allow.txt" #----------- AUTH list (END) ------------------------------------------------------------
#----------- AUTH access (BEGIN) --------------------------------------------- #открывать геморные сайты без проверок http_access allow ip_need_auth parol gemor_sites
#блокировки доступа по url, прокси и по расширению с исключениями (см. AUTH list) http_access deny ip_need_auth parol !auth_users_allow !auth_it_dept block_url http_access deny ip_need_auth parol !auth_users_allow !auth_it_dept block_free_proxy http_access deny ip_need_auth parol !auth_users_allow !auth_it_dept block_url_extention_file
#разрешить mail_white http_access allow ip_need_auth parol mail_white
#блокировать доступ к mail_black с исключениями (см. AUTH list) http_access deny ip_need_auth parol !auth_webmail_allow !auth_it_dept mail_black
#разрешить доступ авторизованным пользователям http_access allow ip_need_auth parol #----------- AUTH access (END) -------------------------------------------
#запретить доступ всем, кто не перечислен в ip_vpn.txt, ip_our_networks.txt и auth.conf http_access deny all #----------------- ACCESS CONTROLS (END) -------------------------
# MISCELLANEOUS # ----------------------------------------------------------------------------- # TAG: dns_testnames # The DNS tests exit as soon as the first site is successfully looked up # This test can be disabled with the -D command line option. dns_testnames ya.ru www.ru microsoft.com
# TAG: logfile_rotate # Specifies the number of logfile rotations to make when you # type 'squid -k rotate'. logfile_rotate 40
# TAG: icon_directory icon_directory d:/squid/share/icons
# TAG: error_directory error_directory d:/squid/share/errors/Russian-1251
# DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option) # ----------------------------------------------------------------------------- # От использования delay_pools отказался, т.к. “ширина” канала позволяет не # лимитировать канал. # Однако хочу сказать, что эта опция работает исправно и настройки её не представляют # сложности, требуется только внимательность. # Пример можно посмотреть здесь http://opennet.ru/base/net/squid_speed.txt.html Дополнительные файлы (должны находиться в d:\squid\etc). Конфигурационные файлы.1. Скрипт аутентификации auth.js (скопируйте приведённый ниже текст и вставьте в обычный текстовый файл, после чего файл переименуйте в auth.js) /* ====================================================================== NAME: auth.js AUTHOR: gvan, *** DATE : 18.04.2008 COMMENT: script for basic authentication (squid) ========================================================================= */ var UserName_casesensitive = false,//squid parameter "auth_param basic casesensitive off" Write_ApplicationLog_full = false, Write_ApplicationLog_ErrorOnly = true;
var Arg = WScript.Arguments.Unnamed; FSO = WScript.CreateObject("Scripting.FileSystemObject"); var FileName,StringPass,StringPass_Array,StringFile,StringFile2,i,Reply,File,Stoped;
FileName=Arg(0); i=0;
while(i==0) { StringPass = WScript.StdIn.ReadLine(); StringPass_Array = StringPass.split(" "); try { StringPass = StringPass_Array[0]+" "+StringPass_Array[1].replace("%20"," "); } catch(e) { StringPass = "Error StdIn string ["+StringPass+"]!"; WriteApplicationLog(1,StringPass); } Reply = "ERR"; Stoped = 0; File = FSO.OpenTextFile(FileName,1); while((File.AtEndOfStream==false)&&(Stoped==0)) { StringFile=new String(File.ReadLine()); if(StringFile.substr(0,1)!="#") { if(UserName_casesensitive) StringFile2 = StringFile; else StringFile2 = StringFile.replace(StringFile.substring(0,StringFile.indexOf(" ")),StringFile.substring(0,StringFile.indexOf(" ")).toLowerCase()); if(StringFile2==StringPass) { Reply="OK"; Stoped=1; }//end if(StringFile==StringPass) }//end if(StringFile.substr(0,1)!="#") }//end while((File.AtEndOfStream==false)&&(Stoped==0)) WScript.StdOut.WriteLine(Reply); File.Close(); if(Write_ApplicationLog_full) if(Reply=="OK") WriteApplicationLog(0,"SQUID Reply = "+Reply+"rnAuth user = "+StringPass); else WriteApplicationLog(1,"SQUID Reply = "+Reply+"rnUnknown auth user = "+StringPass); else if(Write_ApplicationLog_ErrorOnly&&(Reply=="ERR")) WriteApplicationLog(1,"SQUID Reply = "+Reply+"rnUnknown auth user = "+StringPass); }//end while(i==0)
function WriteApplicationLog(intType,Msg) { var SUCCESS = 0, ERROR = 1, WARNING = 2, INFORMATION = 4, AUDIT_SUCCESS = 8, AUDIT_FAILURE = 16; var WshShell = WScript.CreateObject("WScript.Shell"); WshShell.LogEvent(intType,Msg); }2. Файл с пользователями и паролями auth.conf (сначала идёт логин, всё, что после пробела – пароль). Настоятельно рекомендую во ВСЕХ файлах, где указывается логин пользователя, писать его маленькими буквами. # Пользователь 1 user_1 qwERty # Пользователь 2 (пароль пользователя содержит “пробел”) user_2 18 qqq # Администратор 1 admin1 YYY uuu # Администратор 2 Admin2 bbb NNN3. Файл mime.conf. Оставил без изменений. 4. ip_need_auth.txt - ip-адреса компов, на которых необходимо требовать авторизации пользователей. 192.168.20.140 192.168.20.295. ip_our_networks.txt - ip-адреса локальной сети (в настоящее время разрешена вся подсеть 192.168.20.0/24 и несколько адресов из сети филиала) 192.168.20.0/24 192.168.50.4 192.168.50.526. ip_vpn.txt - ip-адреса vpn-сети (в настоящее время разрешена вся подсеть 10.10.10.0/24) 10.10.10.0/24Файлы, которые используются для запретов (фильтры):1. block_free_proxy.txt - список прокси-анонимайзеров (неполный) proxy towel.greyfyre.info domainuniverzum.com2. block_url.txt - список блокировок по url (неполный) anekdot.ru fishki.net livejournal3. block_url_extention-files.txt - список блокировок по расширению файлов (неполный) *.(avi|flv|mp3|mpg|mpeg|mp4|ogg|wmv)$4. mail_black.txt - список запрещённых почтовиков (неполный) chat mail smtp5. mail_white.txt - список разрешенных почтовиков (неполный). icewarp.com gmail.comФайлы, которые используются для списков (групп) пользователей (логины маленькими буквами!!!).1. auth_it_dept.txt - список логинов сотрудников IT-отдела (на группу не действуют многие ограничения, подробности см. в squid.conf) admin1 admin22. ip_it_dept.txt - список логинов сотрудников IT-отдела 192.168.20.30 192.168.50.52Содержимое оставшихся файлов ( auth_url_allow.txt, ip_url_allow.txt, auth_webmail_allow.txt, ip_webmail_allow.txt, ip_icq_allow.txt, ip_icq_deny.txt), аналогично по структуре и написанию двум описанным выше. Примечания:1. Все списки и фильтры можно использовать непосредственно в squid.conf. Однако я вынес много списков и фильтров в отдельные текстовые файлы, потому что мне кажется это гораздо удобнее, чем лазить в squid.conf 2. Фильтры в squid.conf срабатывают при первом совпадении. (например, для сайта из группы gemor_sites фильтры применяться не будут) 3. Для применения внесенных изменений, проще и быстрее (вместо рестарта службы) пользоваться командой: D:\squid\sbin\squid.exe -n Squid26_12 -f d:/squid/etc/squid.conf -k reconfigure4. Для ротации логов можно использовать по шедулеру команду: D:\squid\sbin\squid.exe -n Squid26_12 -f d:/squid/etc/squid.conf -k rotate5. Сквид не стартует, если не видит dns-серверов, либо не может “разрешить” тестовые dns-имена. Рекомендую изучить ключ –D 6. Сквид через какое-то время начинает падать из-за антивируса NOD32 (вернее из-за его какого-то модуля, подробно вопрос не изучал, ибо нодом не пользуюсь) 7. Пример настройки анализатора (я использую виндовый sarg) приводить не буду, т.к. на вкус и цвет… Скажу только, что для ротации и упорядочивания логов, а также для запуска анализатора, использую самописные скрипты из шедулера, там нет ничего сложного. Вроде всё… Если что-то забыл, допишу. Надеюсь, что кому-нить это пригодится. |
|
Форум: Серверное ПО
· Просмотр сообщения: #88321
· Ответов: 6
· Просмотров: 97434
|
OpenVPN
|
Gvan |
Отправлено: Среда, 16 Апреля 2008, 13:46 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Всё забываю написать об одной особенности... Проблема в следующем. Если на клиенте установлен какой-нить программный продукт с фаерволом (мне жаловались на Lan2Net и WinRoute), то при подключении к OpenVPN-серверу, адаптер клиента (TAP-Win32 Adapter V8) никак не может получить адрес с сервера... Решается эта проблема добавлением в конфигурационной ovpn-файл клиента следующей строки (меняющей способ назначения ip-адреса):
ip-win32 netsh
Предполагаю, что данная строка справедлива не только для клиента, но и для сервера... |
|
Форум: Интернет технологии
· Просмотр сообщения: #88282
· Ответов: 77
· Просмотров: 8334740
|
OpenVPN
|
Gvan |
Отправлено: Среда, 09 Апреля 2008, 9:34 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата(DJRemedy @ Вторник, 08 Апреля 2008, 14:09) Всё бы ничего, но когда обрывается связь через модем и потом поднимается снова, переписываются маршруты у клиента и соответственно шлюзом по умолчанию ставится не маршрут впн сети, а маршрут реально полученный у провайдера после реконекта. Вообще-то ситуация странная, т.к. впн-соединение возможно только после того, как появится возможность достучаться до сервера... Соответственно и впн-маршруты назначаются после установки впн-соединения... Может стоит сначала попробовать на геморройном клиенте поиграть параметрами ovpn-файла: route-method exe route-delay 10 |
|
Форум: Интернет технологии
· Просмотр сообщения: #88205
· Ответов: 77
· Просмотров: 8334740
|
OpenVPN
|
Gvan |
Отправлено: Вторник, 25 Марта 2008, 20:05 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата(post_val @ Вторник, 25 Марта 2008, 19:26) Добрый день! А можно ли прикрутить OpenVPN клиента к виндовозному RRAS ВПН? Интересный вопрос... а это как? |
|
Форум: Интернет технологии
· Просмотр сообщения: #88124
· Ответов: 77
· Просмотров: 8334740
|
SquidNT
|
Gvan |
Отправлено: Суббота, 28 Апреля 2007, 11:25 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
В ближайшее время тоже собираюсь озаботиться проблемой натягивания сквида под виндовс... Если что получится, то отпишусь о результатах... кому будет интересно... |
|
Форум: Серверное ПО
· Просмотр сообщения: #85048
· Ответов: 6
· Просмотров: 97434
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Понедельник, 12 Февраля 2007, 19:59 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Разобрался я как настроить принудительную аутентификацию с использованием SSL/TLS... Сначала возникли трудности с сертификатом... Потом разобрался и сделал себе самоподписанный сертификат. Для создания сертификатов пользовался следующими статьями: Creating a Self-Signed Certificate using OpenSSL for use with Microsoft Internet Information ServicesЗащита OWA 2003 с использованием бесплатного SSL-сертификата стороннего производителяПосле того, как все заработало, понял, что мне это не совсем подходит по двум причинам: 1. В конторе работает Symantec AntiVirus, который рубит по прослушиваемым портам (25 и 110) все зашифрованные соединения (вот статья самого симантека, где рекомендуется отключить сканирование почты : Norton AntiVirus email scanning is not compatible with Internet service providers using Secured Socket Layer protocol) Отключать сканирование входящей/исходящей почты я не хочу. 2. В случае принудительного включения TLS, данное правило распространяется на ВСЕХ пользователей, в том числе и на пользователей, которые находятся и внутри сети, т.е. каждому пользователю надо прописывать безопасную проверку пароля (SPA), авторизацию на smtp, а также подключение через безопасное соединение SSL... Но у меня в сети 500 пользователей, а с наружи приходят только человек 20... И ради этих 20 не хочется огород городить... Может действительно, прописать локальные сети пользователей внутри, а для внешних оставить только веб-интерфейс через SSL..? Или я что-то не так понимаю и мои 2 пункта проблем легко решаются..? |
|
Форум: Серверное ПО
· Просмотр сообщения: #84026
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Вторник, 06 Февраля 2007, 9:45 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Тебе требуется его опубликовать - сделать доступным для любого пользователя по его требованию (надобности, запросу). А это муторно (можно, но муторно ) без работающего сервера сертификатов. Только что подумал... Если я подниму сервер сертификатов, то он должен быть доступен извне удаленным пользователям..? |
|
Форум: Серверное ПО
· Просмотр сообщения: #83914
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Понедельник, 05 Февраля 2007, 18:33 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Если я могу отправить с любой учетной записи письмо в твой домен, всего лишь прописав SMTP твоего сервера (иными словами, твой SMTP-сервер принимает любую учетную запись), значит я могу отправить письмо и в любой другой домен. А это открытый релей. Все верно, но с некоторыми поправками: да, если прописать в любой учетной записи в качестве SMTP мой сервер, то можно отправить письмо только учетной записи из этого домена, но при попытке отправки письма на адрес из другого домена, сервер даст отлуп ( релей запрещен) Спасибо, за ссылку на мануал от микрософта. Я читал статью и попытался найти компромисс между своей реальностью и их пожеланиями Цитата Т.е. у тебя поднят сервер сертификатов. Ты клиентам выдаешь сертификат и позволяешь работать через SSL (в настройке учетной записи клиента, ты ставишь обязательное шифрование на авторизацию)? Если так, то извиняюсь, а если нет, то о какой закрытой передаче логина и пороля ты говоришь? Прочитал, то, что сам написал, и стало стыдно Сервера сертификатов у меня нет Попробую поднять его на DC... Пока только создал запрос на сертификат в SMTP, пользуясь визардом в System Manager... |
|
Форум: Серверное ПО
· Просмотр сообщения: #83904
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Понедельник, 05 Февраля 2007, 13:44 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above".
Совершенно "беспонтовая" и, кстати, очень опасная галочка - "Разрешить релей всем компьютерам, прошедшим авторизацию, невзирая на list below. А если учесть, что у тебя разрешен
Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) - "Basic authentication"
передача логина и пароля в незашифрованном текстовом виде...
У меня в "Basic authentication" стоит ещё галка "Requires TLS encryption", которая, как я понимаю, требует шифрования имени пользователя и пароля между удаленным клиентом и сервером (не буду врать, снифером пока не проверял)... Т.е., чтобы удаленный пользователь мог отправить письмо в другой домен, ему нужно прежде пройти аутентификацию на сервере, иначе письмо принято не будет. По моему, только что до меня дошло то, что ты пытаешься мне втолковать: ты считаешь, что уязвим сам виндовый сервис SMTPSVC и предлагаешь отключить возможность аутентификации smtp для удаленных пользователей, прописав в "Relay Restrictions" локальные подсети... А для удаленных пользователей разрешить веб-интерфейс..? Теперь я правильно понимаю? Цитата Цитата(Gvan @ Пятница, 02 Февраля 2007, 15:00) Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru...
У тебя открыт релей. И то, что об этом еще не разнюхали... тебе катастрофически везет. Позволю не согласиться... Под релеем понимается пересылка почты данным сервером в другие домены. Так вот этой возможности (без авторизации) у меня нет, т.е. открытый релей у меня все-таки закрыт (на всякий пожарный проверил на www.dnsreport.com). Цитата либо выдергивай шнур с и-нетом, либо останавливай Exchange В настоящий момент на этом сервере, если смотреть со стороны интернета, для всех закрыты ВСЕ порты (политикой ipsec), за исключением одного адреса, который я использую для тестирования работы удаленных пользователей. Да и на свой вопрос я, наверное, нашел ответ... Я писал, что "в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru"... Допустим, что у меня есть учетная запись user@companymail.ru. На этот адрес можно написать письмо с любого адреса, допустим с адреса user@inbox.ru, и письмо будет доставлено. Соответственно, нет разницы, как пользователь user@inbox.ru будет отправлять письмо пользователю user@companymail.ru, через сервер smtp.inbox.ru или через сервер mail.companymail.ru... Возможно это спорная точка зрения, но она ведь логичная..? Важно, другое, чтобы пользователь user@inbox.ru не мог отправить письмо в другой домен, используя сервер mail.companymail.ru (то бишь не должно быть открытого релея), без авторизации. |
|
Форум: Серверное ПО
· Просмотр сообщения: #83895
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Пятница, 02 Февраля 2007, 15:00 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Ты хочешь, чтобы была связь извне по РОР3. А это бэйсик авторизация. Как-бы там чего не говорили... ну не умеют РОР3-клиенты проходить интегрированную авторизацию. Соответственно и релей для них - бэйсик. Для релея ты можешь либо прописать диапазон разрешенных адресов (отдельные адреса или все вместе), либо разрешить всем, но с бэйсик-авторизацией Если честно, то я не совсем понимаю про интегрированную авторизацию Интегрированную куда..? Диапазон прописанных адресов не совсем устраивает, т.к. многие работают с почтой из дома (например, пользуясь стримом... а прописывать в разрешенные адреса всю подсеть стрима не есть очень хорошо). Проблема в том, что у меня в свойствах виртуального SMTP сервера на закладке "Access" в настройках "Authentication" стоят галки напротив следующих пунктов: - "Anonymous access" - "Basic authentication" --- "Requires TLS encription" - "Integrated Windows Authentication" В "Users": - "Submit Permission" - галка "Разрешить" - "Relay Permission" - галок нет (установка галки разрешить ни на что не влияет) В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above". У пользователя почтовый клиент Outlook Express, стоит имя и пароль на POP3 и на SMTP. Так вот при этих настройках релей у пользователя не работает. Никак не пойму почему... Где мне чего надо прикрутить, чтобы юзер мог отправлять письма, если он успешно проходит авторизацю при отправке почты? Цитата почтовик стоящий на рутере, вскрывается как два пальца об асфальт. Не совсем понял... Как он вскрывается..? в интернет торчать только два порта 110 и 25... Ты имеешь в виду, что один из этих сервисов очень уязвим..? и сервис этот POP3, так? и ещё, почтовик не стоит на рутере, просто это машина с двумя сетевыми картами... Цитата У тебя есть два выхода: 1. Переносить почтовик внутрь сетки 2. Вешать его только на внутренний интерфейс, настраивать NAT. А внешний интерфейс защищать хорошим фаерволом.
Можно на пальцах пример реализации..? Цитата Цитата(Gvan @ Вчера, 20:43) как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..?
Не совсем понял, чего надо. На пальцах объяснить сможешь? Попробую на пальцах... Если удаленный клиент отправляет письмо не на внешний адрес, а на адрес домена companymail.ru, то сделать это он может даже при отсутствующей в его почтовом клиенте (OE 6.0) галке "Проверка подлинности пользователя" в сервере исходящей почты Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru... Вот я и спрашиваю, как это запретить... |
|
Форум: Серверное ПО
· Просмотр сообщения: #83860
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Четверг, 01 Февраля 2007, 20:43 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Связь между филиалами есть? Да, связь между филиалами есть... Направление исследований понял... Попробую разобраться... Тут объявилась проблема с релеем... Я в виртуальном SMTP сервере прописал локальную сеть (granted) и оставил галку напротив "Allow all computers which successfully authenticate to relay, regardless of the list above"... В результате из локальной сети на внешние адреса письма уходят, а из удаленного офиса (адреса которого я прописывать не стал) даже при наличии галки в почтовом клиенте (как на сервер входящей почты), что мол требуется аутентификация для отправки почты, почта на внешние адреса не уходит (ошибка 550 5.7.1 Unable to relay...). Как мне научить сервер отправлять почту во вне, если удаленный пользователь проходит авторизацию по smtp..? И ещё вопрос... Теперь, как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..? |
|
Форум: Серверное ПО
· Просмотр сообщения: #83854
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Четверг, 01 Февраля 2007, 18:47 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Пока все понятно, спасибо! А про это что скажете..? Цитата И ещё вопрос... Совсем забыл что есть ещё один удаленный филиал со 150 пользователями... У них свой локальный домен (DOMAIN_2.LOCAL), который связан с доменом DOMAIN.LOCAL обычными двустронними доверительными отношениями. Однако почтовые ящики у них тоже в companymail.ru... Каким наименее геморройным (или единственно возможным) способом можно осчастливить их ящиками в Exchange? |
|
Форум: Серверное ПО
· Просмотр сообщения: #83852
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Среда, 31 Января 2007, 15:10 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Спасибо, Egor, за участие! Цитата Цитата(Gvan @ Вчера, 15:38) в SMTP указал "@companymail.ru". Этого достаточно..?
Достаточно. Только сделай его дефолтным, а с @domain.local галочку убери.
Я создал новую политику, в которой в "E-Mail Addresses (Policy)" указал только один SMTP ("@companymail.ru)... Или правильней было бы править дефолтовую политику (Default Policy)..? Цитата У Exchange запросто можест снести крышу Ставь симантека для Exchange, а лучше используй Trend Micro OfficeScan, IMHO. Спасибо за совет! Про снос крыши я не учел... Просто я работал с почтовиком Merak, который легко переносит убийство антивирусом вируса (вернее, самого письма) в темповой директории... Наверное, я просто исключу из сканирования промежуточную папку и сторе... Кстати, не подскажете, где эти папки (файлы) находятся на диске и можно ли изменить пути к ним..? А антивирус для эксчейнджа использовать, наверное, вообще не буду. У меня симантек на пользователях настроен на автоматическое сканирование 110 и 25 портов... Цитата Не самое удачное решение, использовать почтовик на шлюзе. Уж лучше на DC, но внутри локалки. Чем защищать его собираешься? Почему не самое удачное..? Защищать планирую обычным виндовым ipsec'ом, настроенным на фильтрацию пакетов по портам (планирую, на первое время, наружу оставить только 25, 110 и 143 порты). Кстати я бы поменял дефолтовые банеры на POP3-IMAP4 и SMTP... Только пока не знаю, где это делается Цитата а наружу OWA & SSL Да, пожалуй, так будет правильнее, спасибо. М-да... Как обычно, статистика - один из самых муторных, но все же необходимых моментов... Спасибо за подсказки по фирмам. А что вы скажете про фильтрацию писем по расширению вложенного файла (например, запретить вложения *.pif, *.scr и т.д. ) и по спам-спискам DNSBL..? Возможность такая есть? И ещё вопрос... Совсем забыл что есть ещё один удаленный филиал со 150 пользователями... У них свой локальный домен (DOMAIN_2.LOCAL), который связан с доменом DOMAIN.LOCAL обычными двустронними доверительными отношениями. Однако почтовые ящики у них тоже в companymail.ru... Каким наименее геморройным (или единственно возможным) способом можно осчастливить их ящиками в Exchange? |
|
Форум: Серверное ПО
· Просмотр сообщения: #83824
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Вторник, 30 Января 2007, 15:38 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Цитата Рассказывай, где у тебя стоИт сам Exchange (DC/отделная машина), что на ней еще "крутится"? Exchange стоит на машине с двумя сетевыми картами (одна смотрит внутрь, другая - наружу), принадлежит локальному домену DOMAIN.LOCAL. Эта машина не является контроллером домена. На машине, помимо ОС и Exchange, установлен антивирус Symantec Antivirus Corporate Edition (управляемая клиентская часть). Цитата У тебя оснастка Exchange есть на DC, где заводил юзверей? Юзверей заводил на машине, где установлен Exchange, пользовался оснасткой Active Directory Users and Computers, в свойствах пользователя появились четыре новых закладки: "E-mail Addresses", "Exchange Features", "Exchange Advanced" и "Exchange General". На DC (в сети их два) оснастки Exchange нет и в свойствах пользователя нет дополнительных закладок. Цитата Как заводил им ящики? Пользовался визардом "Exchange Task Wizard" из оснастки "Active Directory Users and Computers" на сервере с Exchange. Цитата Внутри сети РОР3 не нужен. Хм... Возможно и не нужен (а что тогда..?). Но много сотрудников работают вдали от офиса, да и перенастраивать учетные записи в почтовых клиентах было бы не очень хорошо... Многим нужны ещё и папки IMAP и веб-интерфейс... Цитата В System Manager на Exchange в дефолтных ресипиент полисях либо создаешь свою политику. Создал новую политику в "Recipient policies", в SMTP указал "@companymail.ru". Этого достаточно..? Про литературу я все прекрасно понимаю. Но мне нужно именно срочно. А о том, чтобы не потерять всю почту юзверей (которой, кстати, пока нет), уже заботятся мои роботы-бэкаперы;-) Так что всегда есть возможность откатить назад. |
|
Форум: Серверное ПО
· Просмотр сообщения: #83798
· Ответов: 19
· Просмотров: 22139
|
Exchange как обычный почтовик.
|
Gvan |
Отправлено: Вторник, 30 Января 2007, 13:07 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Здравствуйте, Гуру! Если в общем - суть проблемы в том, что я никогда не видел данного продукта, а проблему, как обычно, нужно решить очень срочно... Итак. Необходимо перенести всю конторскую почту от провайдера в офис, причем обязательно почтовиком должен быть Exchange. В конторе есть локальный домен DOMAIN.LOCAL, с 350 пользователями. Эти пользователи имели почтовые ящики в домене COMPANYMAIL.RU Установил Exchange 2003 на сервер Win2k3 EE (перед установкой пользовался ключами /ForestPrep и /DomainPrep), который входит в локальный домен DOMAIN.LOCAL. А теперь вопросы чайника, если можно поподробнее: 1. Как мне завести пользователя, у которого должна быть почта в домене COMPANYMAIL.RU (user@companymail.ru), и где можно потом посмотреть свойства этого пользователя и его статистику (кому, куда, когда, сколько и т.д.) 2. Где регулируются правила для почты: - максимальный объём пересылаемого сообщения; - фильтр по вложенным файлам (например, запрет по расширению файла); - можно ли прикрутить проверку на спам по DNSBL; - как организуется отправка почты на внешние адреса, и соответственно, получение сервером писем извне; - можно ли прикрутить к нему какой-нить антивирус. Это, пока, основные вопросы... Не ругайтесь, если решения проблемы тривиально... Просто я его поставил и... не знаю, куда дальше смотреть Завел в AD пару юзеров, назначил им там же адреса (пока для локального домена domain.local)... Потом включил POP3 на сервере... Авторизацию по POP проходят, но отправить что-нибудь друг другу не могут: письмо уходит, а потом присылается отлуп c сообщением did not reach the following recipient(s):
user@domain.local on Mon, 29 Jan 2007 21:06:28 +0300 Такая учетная запись не существует в организации, в которую было отправлено сообщение. Чтобы найти правильный адрес, проверьте адрес, найдите получателя в адресной книге или напрямую обратитесь к нему за помощью. <mail.domain.local #5.1.1>
|
|
Форум: Серверное ПО
· Просмотр сообщения: #83792
· Ответов: 19
· Просмотров: 22139
|
OpenVPN
|
Gvan |
Отправлено: Четверг, 28 Сентября 2006, 11:25 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Забыл добавить. Перед тем, как подключать клиента, его (т.е. клиента) надо бы проверить на возможность подключения. в командной строке:
telnet <server_address> <server_port>
Если соединение доступно, то в результате выполнения этой команды Вы увидите крякозябры, все остальные ответы обозначают проблемы с коннектом. Кстати, на мой взгляд, не есть очень хорошо использовать общеизвестные порты под нужды впн, в нашем случае это порт 21... |
|
Форум: Интернет технологии
· Просмотр сообщения: #81943
· Ответов: 77
· Просмотров: 8334740
|
OpenVPN
|
Gvan |
Отправлено: Четверг, 28 Сентября 2006, 10:31 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Для того, чтобы связать сети неважен способ подключения (желательно, чтобы это подключение было более или менее стабильным). Важно, чтобы выполнялись некоторые, скажем так, глобальные условия: 1. У сервера должен быть постоянный адрес (статический реальный ip, либо динамический реальный ip, но при динамически назначаемом адресе, нужно будет воспользоваться какой-либо из служб dDNS, чтобы в конфигах клиентов писать полученное dns-имя). 2. На сервере и клиентах должен быть открыт порт для соединения, прописанный в ovpn-файле сервера.
|
|
Форум: Интернет технологии
· Просмотр сообщения: #81940
· Ответов: 77
· Просмотров: 8334740
|
OpenVPN
|
Gvan |
Отправлено: Вторник, 22 Августа 2006, 18:00 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Здравствуйте. Судя по отзывам, описанный мною процесс установки работает на 100%. Хочу отметить, что данная работа была мной проделана исходя исключительно из необходимости решения конкретных задач... И расценивать это описание надо только, как пример одного из возможных решений применения впн... Недавно, меня спросили, можно ли использовать OpenVPN в качестве интернет-шлюза для ВСЕХ удалённых клиентов, и это мне показалось интересным. Т.е. можно ли сделать так, чтобы после соединения с впн-сервером, у удаленного клиента менялся шлюз по умолчанию на адрес впн-сервера, а следовательно и все обращения удаленных клиентов в интернет велись бы через него..? Да, можно. Решается это довольльно просто (на впн-сервере, для выполнения 1-го пункта должна стоять серверная ОС: Win2k/2k3 Server). 1. На vpn-сервере поднимается служба RRAS с протоколом NAT, где в качестве в качестве внутреннего указан vpn-адаптер, а внешнего - интерфейс, который смотрит "наружу". 2. В ovpn-файле сервера добавляются две push-опции:
# DHCP-опции для КАЖДОГО клиента. Назначение удаленному клиенту DNS-серверов vpn-сервера push "dhcp-option DNS IP_ADRESS1" push "dhcp-option DNS IP_ADRESS2" # Меняем у всех клиентов шлюз по умолчанию, чтобы все обращения шли через vpn-сервер push "redirect-gateway"
Если эта возможность нужна не всем удаленным клиентам, то можно использовать push-опции в именном файле конкретного пользователя (напоминаю, он находится в ccd директории сервера). Сразу оговорюсь, что эту возможность я не проверял, так что, если моё утверждение об именном файле неверно, пишите в форум. |
|
Форум: Интернет технологии
· Просмотр сообщения: #77802
· Ответов: 77
· Просмотров: 8334740
|
Свитч с ограничением скорости по портам.
|
Gvan |
Отправлено: Пятница, 07 Июля 2006, 16:36 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Сорри, за преждевременный вопрос. Вроде бы все нашел. Кому интересно, вот названия: D-Link DES-3018 D-Link DES-3010G Zyxel ES-2108 Asotel Vector 1916 Planet WSD-800 Это не полный список всего существующего оборудования, просто он удовлетворяет мои потребности (невысокая цена и небольшое количество портов). |
|
Форум: Железо
· Просмотр сообщения: #77208
· Ответов: 1
· Просмотров: 3746
|
Свитч с ограничением скорости по портам.
|
Gvan |
Отправлено: Пятница, 07 Июля 2006, 15:16 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Здравствуйте, Уважаемые! Может кто подсказать, существуют ли в природе свитчи с возможностью ограничения скорости по портам? Поясню. Нужно что-нибудь наподобие управляемого свитча, в котором можно было бы установить фиксированную скорость для каждого порта, причем интересует достаточно маленький шаг изменения скорости порта, допустим от 64 кб/сек... Спасибо! |
|
Форум: Железо
· Просмотр сообщения: #77207
· Ответов: 1
· Просмотров: 3746
|
Перемещение по расписанию
|
Gvan |
Отправлено: Вторник, 11 Апреля 2006, 17:12 |
Участник
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
|
Если немного поизвращаться, то можно написать, например, такой js-скрипт : var Source = "d:\\test\\ClientVPN1.ovpn", Destination = "d:\\test2", DateFormatForFile = "ddmmyy"; var FSO;
FSO=WScript.CreateObject("Scripting.FileSystemObject"); WriteLog("StartWrite");
if (!FSO.FileExists(Source)) { WriteLog("Source file "+Source+" not found"); WriteLog("EndWrite"); WScript.Quit(); }
if (!FSO.FolderExists(Destination)) { WriteLog("Destination folder "+Destination+" not found"); WriteLog("EndWrite"); WScript.Quit(); }
Destination+="\\"+FSO.GetBaseName(Source)+"_"+CurrentDate(DateFormatForFile)+"."+FSO.GetExtensionName(Source); WScript.Echo("qqq"); try { FSO.MoveFile(Source,Destination); WriteLog("Файл "+Source+" перемещён в "+Destination); } catch(e) { WriteLog("Ошибка при перемещении файла "+Source+" в "+Destination); WriteLog("Описание ошибки: \""+e.description+"\""); WriteLog("EndWrite"); WScript.Quit(); }
WriteLog("EndWrite"); //WScript.Echo("end.");
/***************************************/ //Функция для записи в лог function WriteLog (EventForWrite) //EventForWrite - сообщение или признак начала/окончания скрипта { var FSO; var FLog; var ForAppending=8; //Добавлять записи в лог FSO=WScript.CreateObject("Scripting.FileSystemObject"); FLog=FSO.OpenTextFile(WScript.ScriptName+".log",ForAppending,true); switch (EventForWrite) { case "StartWrite": FLog.WriteLine(CurrentDate()+" ========= ЗАПУСК СКРИПТА. ========="); FLog.Close(); break; case "EndWrite": FLog.WriteLine(CurrentDate()+" ========= СКРИПТ ВЫПОЛНЕН. ========"); FLog.Close(); break; default: { FLog.WriteLine(CurrentDate()+" "+EventForWrite); } FLog.Close(); } }
//Текущая дата и время function CurrentDate (DateFormat) { var d; var dDay; dDay = new Array("Воскресенье","Понедельник","Вторник","Среда","Четверг","Пятница","Суббота"); var dMonth; dMonth = new Array("01","02","03","04","05","06","07","08","09","10","11","12"); var dDate, dHours, dMinutes, dSeconds; d=new Date(); if (d.getDate()<10) dDate="0"+d.getDate(); else dDate=d.getDate(); if (d.getHours()<10) dHours="0"+d.getHours(); else dHours=d.getHours();
if (d.getMinutes()<10) dMinutes="0"+d.getMinutes(); else dMinutes=d.getMinutes();
if (d.getSeconds()<10) dSeconds="0"+d.getSeconds(); else dSeconds=d.getSeconds(); switch (DateFormat) { case "FullDay": return(dDay[d.getDay()]+" "+ dDate+"."+dMonth[d.getMonth()]+"."+d.getYear()+" "+ dHours+":"+dMinutes+":"+dSeconds); break; case "ddmmyy": return(dDate+"."+dMonth[d.getMonth()]+"."+d.getYear()); break; case "yymmdd": return(d.getYear()+"."+dMonth[d.getMonth()]+"."+dDate); break; default: { return(dDate+"."+dMonth[d.getMonth()]+"."+d.getYear()+" "+ dHours+":"+dMinutes+":"+dSeconds); } } }
Для его использования нужно скопировать все выделенное зеленым цветом в какой-нибудь текстовый файл и переименовать его в файл с расширением JS (не забыть переименовать в теле сценария пути для параметров Source и Destination ). |
|
Форум: Microsoft Windows NT/2000
· Просмотр сообщения: #75970
· Ответов: 4
· Просмотров: 9161
|
Новые ответы Нет новых ответов Горячая тема (Есть ответы) Горячая тема (Нет ответов) |
Опрос (Есть ответы) Опрос (Нет ответов) Закрытая тема Тема перемещена |
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|