proNovell

Никак не могу понять как настроить Border Manager 3.6, так чтоб пользователи могли ходить на ftp сервера и чтоб этот трафик учитывался.
На данный момент выйти на ftp возможно только при включённом НАТе, при этом в логах этого трафика я не вижу и у пользователей появляется возможность ходить в интернет минуя Бордер, что меня не устраивает

Помогите, плиз, грамотно настроить Бордер, а то покопавшись в этом форуме и почитав TIDы я ничего полезного для себя не нашёл.

ЗЫ: Border Manager 3.6, NetWare 6.0 SP4
ЗЗЫ: Что и куда нужно провисать, чтоб при отключенном НАТе возможно было пропинговать комп находящийся за Бордером?

1. Топологию сети и собственные замыслы - в студию.
2. Штудировать азы ТСП-ИП: маршрутизацию и сервисы - два.

BDmV писал(а):Никак не могу понять как настроить Border Manager 3.6, так чтоб пользователи могли ходить на ftp сервера и чтоб этот трафик учитывался.
На данный момент выйти на ftp возможно только при включённом НАТе, при этом в логах этого трафика я не вижу и у пользователей появляется возможность ходить в интернет минуя Бордер, что меня не устраивает

Помогите, плиз, грамотно настроить Бордер, а то покопавшись в этом форуме и почитав TIDы я ничего полезного для себя не нашёл.

ЗЫ: Border Manager 3.6, NetWare 6.0 SP4
ЗЗЫ: Что и куда нужно провисать, чтоб при отключенном НАТе возможно было пропинговать комп находящийся за Бордером?

Для начала надо читать документацию, потом уже форум и ТИДы. В БМ есть FTP Proxy - его и нужно колупать (правда, не уверен, что будет учитываться трафик). Точно учесть трафик можно через http-прокси - есть опять же вариант с "ftp over http". Т.е. - дока, думаем, потом пробуем на стенде. Если чего не получается - тогда уже на форум и в ТИДы.

ходить по FTP или пинговать компьютеры из внутренней во внешнюю сеть. Первая задача решаема, вторая без NAT нет. Без NAT у вас пойдет пинг только с сервера. Но для доступа к FTP без прокси оно и не надо. Настраивайте прокси в своем ftp клиенте и не забудьте в настройке свойств ftp бордюра поменять символ $ на @. Это стандартная заморочка.

Иван Левшин aka Ivan L. писал(а):В БМ есть FTP Proxy - его и нужно колупать (правда, не уверен, что будет учитываться трафик).

Будет. Правда, чисто по-бордюрному

Мещеряков Андрей писал(а):1. Топологию сети и собственные замыслы - в студию.
2. Штудировать азы ТСП-ИП: маршрутизацию и сервисы - два.

Сетка простая: Внутренняя 192.168.126.0, Внешняя 10.3.0.0

Иван Левшин aka Ivan L. писал(а):Для начала надо читать документацию, потом уже форум и ТИДы. В БМ есть FTP Proxy - его и нужно колупать (правда, не уверен, что будет учитываться трафик). Точно учесть трафик можно через http-прокси - есть опять же вариант с "ftp over http". Т.е. - дока, думаем, потом пробуем на стенде. Если чего не получается - тогда уже на форум и в ТИДы.

Документацию я и так всю пролопатил, но с инглишом у меня проблемы и я, как не пытался так и не понял, нафига мне правила паролирования устанавливать в FTP proxy, ведь я не собираюсь у себя FTPшник поднимать.

BDmV писал(а):

Мещеряков Андрей писал(а):1. Топологию сети и собственные замыслы - в студию.
2. Штудировать азы ТСП-ИП: маршрутизацию и сервисы - два.

Сетка простая: Внутренняя 192.168.126.0, Внешняя 10.3.0.0

Иван Левшин aka Ivan L. писал(а):Для начала надо читать документацию, потом уже форум и ТИДы. В БМ есть FTP Proxy - его и нужно колупать (правда, не уверен, что будет учитываться трафик). Точно учесть трафик можно через http-прокси - есть опять же вариант с "ftp over http". Т.е. - дока, думаем, потом пробуем на стенде. Если чего не получается - тогда уже на форум и в ТИДы.

Документацию я и так всю пролопатил, но с инглишом у меня проблемы и я, как не пытался так и не понял, нафига мне правила паролирования устанавливать в FTP proxy, ведь я не собираюсь у себя FTPшник поднимать.

Да, сетка простая. Только вот какое место в ней занимает бордюр - ни черта не понятно. Четче излагайте мысли, и почитайте что-нибудь о проксах вообще, налицо элементарное непонятие принципов их работы. От себя добавлю:
1. Прокса обычно ставится между сетями, как пробка в горлышке бутылки. Маршрутизация между сетями обычно выключена, если прокса охватывает все сервисы, какие надо выпускать наружу.
2. Пинг соотв между сетями идти никак не могет, по простой причине - на туй он нужен, это раз, адресовать хост с локальным адресом из Инета все равно невозможно, это два.
3. Статистика доступа ведется на основе списка пользователей сервиса. Для создания списка пользователей придется, нравится это или нет, колупать "правила паролирования устанавливать в FTP proxy,"-и прочая, и прочая, и прочая. Если не ясно и теперь - читай вначале книжки, потом - доку. А то просто найдите знающего чела, отсыпьте ему крапивного семени - и он все сделает, как скажете.

Мещеряков Андрей писал(а):Да, сетка простая. Только вот какое место в ней занимает бордюр - ни черта не понятно. Четче излагайте мысли, и почитайте что-нибудь о проксах вообще, налицо элементарное непонятие принципов их работы. От себя добавлю:
1. Прокса обычно ставится между сетями, как пробка в горлышке бутылки. Маршрутизация между сетями обычно выключена, если прокса охватывает все сервисы, какие надо выпускать наружу.
2. Пинг соотв между сетями идти никак не могет, по простой причине - на туй он нужен, это раз, адресовать хост с локальным адресом из Инета все равно невозможно, это два.
3. Статистика доступа ведется на основе списка пользователей сервиса. Для создания списка пользователей придется, нравится это или нет, колупать "правила паролирования устанавливать в FTP proxy,"-и прочая, и прочая, и прочая. Если не ясно и теперь - читай вначале книжки, потом - доку. А то просто найдите знающего чела, отсыпьте ему крапивного семени - и он все сделает, как скажете.

Хорошо изложу чётче...
Один сервак HP E60 c NW 6.0, на котором стоят 2е сетивухи, 192.168.126.1 (внутренний адрес сервера) и 10.3.16.27 (адрес в интернете, точнее сети провайдера через которую мы получаем инет), на этойже машине установлен BorderManager Firewall Services 3.6 (другого нет т.к. куплен этот).
Замысел один, пока, управлять доступом в инет и контролировать трафик.
1. Принцип работы прокси я понимаю, дома уже давно пользую, хоть и более простую в настройках, но проксю. А вот с настройкой Бордера, да ещё между 2х сетей сталкиваюсь впервые, поэтому и прошу помочь!
2. Пинги, для меня не критичны, просто навсякий случай сказал, а вдруг Бордер может перенаправлять icmp из сетки в сетку
3. Статистика, как показывает практика, ведётся не только на основе имен и паролей, я даю доступ компу с конкретным IP и вижу какой IP куда ходил и сколько накачал.
ЗЫ. Мне интересно самому разобраться, чтоб потом не бегать к челу с "крапивным семенем"

1. Работа проксы с двумя интерфейсами (или числом, кратным двум) - классика. Они и делятся на - приватный, что слушает внутреннюю сетку и публичный, что смотрит в Инет или хотя бы ДМЗ.
2. Хоть тут все ясно. Пинги бордюр не транслирует.
3. Описанный способ по ип - вообще-то вульгарис. Значит будете писать рули, основанные на адресах. Хотя повторюсь - это бардак. Даже если на компе сидит один чел, поименка все равно красивее. И трудозатрат совершенно не требует.

Мещеряков Андрей писал(а):1. Работа проксы с двумя интерфейсами (или числом, кратным двум) - классика. Они и делятся на - приватный, что слушает внутреннюю сетку и публичный, что смотрит в Инет или хотя бы ДМЗ.
2. Хоть тут все ясно. Пинги бордюр не транслирует.
3. Описанный способ по ип - вообще-то вульгарис. Значит будете писать рули, основанные на адресах. Хотя повторюсь - это бардак. Даже если на компе сидит один чел, поименка все равно красивее. И трудозатрат совершенно не требует.

Мне не нравится клиент траст, да и в нашей сети, что поименка, что поIPшка - всё едино.
И на данный момент меня интересует вопрос, как заставить Бордер пропускать через себя ftp и учитывать его трафик. Http уже и так нормально ходит через Бордер и считается, а вот ftp без НАТа отказывается.

Значит, не написаны рули для ftp-прокси. И неправильно настроен разделитель ($ вместо @)

Мещеряков Андрей писал(а):Значит, не написаны рули для ftp-прокси. И неправильно настроен разделитель ($ вместо @)

Возможно, вот я и прошу помочь настроить...
В BorderManagerSetup->FTP Proxy я ставил и "$" и "@" и даже ":" не помогает
В BorderManagerAccessRules Прописывал: Allow Any Port 20-21 Any т.е. разрешить выход на 20 и 21 порт, при этом в filtcfg прописывал тоже самое и вообще через inetcfg фильтры отключал... ничего не помогает.

А почему порт? Aplication proxy и на всякий случай Url

Если устраивает пассивный режим, работайте через http-proxy.

Частично разобрался!!!
Оказывается, что порт ftp-proxy = 21, а я везде ставил порт 8080
т.е. без НАТА ФТП пошло
Осталось добиться, чтоб ФТП трафик считался а то в логах я вижу только http ссылки.