![]() |
![]() |
newbie 14.06.2004 - 23:27 |
Строка: Permit TCP Any Host all ports -> External-IP Ports Between(45000-65000) + установить галку "Only Established Connections") (ответы на наши запросы) если не ошибаюсь, раньше она имела такой вид: Permit TCP Any Host all ports -> External-IP Ports > 1024 (ответы на наши запросы) Вопросы такие: 1)куда делся второй вариант, он что не нужен??? 2)в новом варианте, у меня нифига не работает 3)и глобальный вопрос: в любом из вариантов получаются открытыми остаются большое количество портов. В первом случае все >1024, во втором с 45000 до 65000. Но разве можно оставлять открытыми такое количество? В этом диапазоне, что ни одна прога/хакер/etc не может пролезть что ли? 8-\ |
Walker 1 - 15.06.2004 - 05:06 |
Эти два правила практически эквивалентны для случая шлюза с включенным NAT на внешнем интерфейсе и неиспользующего внешние сервисы, кроме самого WR. Тогда весь обмен идет через NAT, а значит через диапазон портов, отведенный для его функционирование. Этот диапазон по умолчанию для WR4.2.X и составляет от 45000 до 65000. Нифига не работает - это вряд ли. Скорее всего не работает браузер или почтовый клиент на шлюзе. Причем они настроены для хождения мимо прокси или почтового сервера WR и используют непосредственно внешний интерфейс, предполагая, что им доступны любые непривелигерованные порты. Щас... Не такое уж и большое количество портов остается открытым... Если хочется еще меньше - пожалуйста, правь реестр на предмет сужения диапазона трансляции NAT и синхронно сужай диапазон открытых портов. Но когда их станет меньше 5, то больше чем одну сессию IE наружу уже не выпустишь :) Насчет, можно ли пролезть в этом диапазоне портов - читай описание механизма работы NAT, тогда этот вопрос снимется. |
newbie 2 - 15.06.2004 - 05:59 |
Насчет диапазона - я есть понимать. Не работало собственно что: проверялось наличие Инета локально на той машине, на которой установлен ВинРут. Естественно прокси никакой не указан. Всю глубину своего заблуждения понял. ;) Попробовал поставить шлюзом 127.0.0.1 <порт> - увы, не помогло. Хотя может оно все равно в обход пыталось(?) законнектится. Фиг знает как это проверить. На другой машине завтра/сегодня проверю. ----- Не такое уж и большое, говоришь. Нифига себе 20к открытых портов. И подскажи еще где почитать насчет правки реестра по этой теме? |
KPOXA EHOT 3 - 15.06.2004 - 09:09 | да толку то? хоть 100, хоть 10 000 портов.. надо сервис запустить для начала, а уж потом и коннектиться к нему, или ты думаешь: "есть открытый порт - ща мы на него привинтимся и начнем по локальным шарам шастать" ... не, батенька, тута вам не повезёть :о) |
Stepan Razin 4 - 15.06.2004 - 10:22 |
(0): По поводу "нифига не работает" разбираться некогда, извини. Десятки (если не сотни) людей успешно настроили все по этому FAQ. По поводу открытых портов... Во-первых, прав КРОХА ЕНОТ - если никакой серви не слушает эти порты - то пофиг. Во-вторых, ключевой момент здесь галка "Only Established Connections". При установленной такой галке эти порты открываются только если изнутри кто-то инициировал соединение, т.е. только для ответов на твои запросы. Если с твоей сторны запроса не было - то порт закрыт |
KPOXA EHOT 5 - 15.06.2004 - 10:37 | >4 ну уж для полноты картины надо чела предупредить, что инициировать соединение может не только дельная прога, но и троян... |
newbie 6 - 15.06.2004 - 10:45 |
Не, ну я конечно понимаю у меня ник такой, но я хоть чуток, но разбираюсь в администрировании. ;) 1)насчет сервисов я и не спорю, но все равно хотелось бы прикрыть по максимуму. Для "красоты" и мало ли какие еще дыры в окнах сыщутся. 2)по поводу "нифига" я слегка погорячился, все шикарно работает со старыми настройками, что не так с этим диапазоном, разберусь как минута свободная появится. Stepan я ж отнюдь не наезжаю на описание, оно одно из лучших. Ну разве что "слегка" торможу. :) 3)не удержался: на фразу "полноты картины" ну так хочется ответить: "а в глаз?" (шЮтка) ;) |
KPOXA EHOT 7 - 15.06.2004 - 10:50 | (0) черт, извини.. по сути вопроса не ответил... после изменения настроек портов так, как в ФАКе описано - рестартни полностью машину с ВинРоутом, чтобы клиенты по новой перезацепились на порты... |
newbie 8 - 15.06.2004 - 10:55 |
А машинку-то за что? Всегда хватало сам ВинРут рестартнуть. Да и проблема не с клиентов, а с той же самой машины, на которой ВинРут обитает. см. середину 2го поста. |
KPOXA EHOT 9 - 15.06.2004 - 10:56 | >8 просто нужно время, чтобы клиенты потеряли ТСР соединение и закрыли его... времени уходящего на ребут обычно хватает... |
newbie 10 - 15.06.2004 - 11:46 | А время написания поста ни о чем не говорит? ;) |