Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » 3proxy

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

Открыть новую тему     Написать ответ в эту тему

TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
первая (и главная) ошибка - нарушение самой логики внешней/внутренней сети.. как следует из:
Цитата:
internal 192.168.0.199
external 192.168.2.250
........
tcppm 3389 192.168.0.250 3389
+ принимая во внимание стандартную* маску для этого класса сеток как 255.255.255.0 И + учитывая, шо в строке задания портмапа НЕ указано иное (аргументы -i../-e.. у тебя в конфиге отсутствуют!), думаю, понятно, почему "оно не фурычит" - портмап на внутреннюю (!) машину из сегмента "0" пробрасывается через "внешнюю" (!) сеть сегмента "2".. т.е. портмап отправляет юзера наружу (!), вместо заворачивания на хост в своём же (!) сегменте сети.. всё понятно излагаю?
* ну.. другую же ты пока не озвучил, сталыть, принимаем дефольное.. +)
 
упреждая вопрос "а почему же в этом:
Цитата:
скачал отдельно tcppm.exe  
его запускаю tcppm.exe -d 3389 192.168.0.250 3389 - так все работает
..случае оно работает?", отвечу - а потому как венда сама по себе "умная деффачка", понимает структуру своей сети и разруливает маршруты сетевых пакетов автоматически.. а вот в своём конфиге ты сам насильно (!) "заставляешь" её ходить по "неправильному пути".. и, соответссно, потому "оно и не жужжит"..    
 
на вопрос "как порулить" отвечу - есть несколько способов, зависящих от твоей конкретной задачи, т.ч. как тебе удобнее - решай сам.. главное - логику работы в своей конкретной ситуации правильно (!) представлять, а уж ключи i/e в портмапе задать или первые две строки в конфиге удалить или маршрутизацию в венде поднять/настроить - это уж ты сам думай..
 
и ещё один возможный* косяк.. исходя из ACL:
Цитата:
allow * 192.168.0.1,....,192.168.0.101,192.168.1.101 * .....
сдаёццо мне, шо юзер 192.168.1.101 никогда не получит доступа к проксе.. и всё по той же причине - подсети разные..
т.е. если "интернал" слушает подсеть "0", то из подсети "1" до прокси не достучишься ни при каких* условиях..192.168.0.250
* ну.. можно сделать "хитровыеденную конструкцЫю" с маршрутизацией, но "прямое" обращения не пройдёт никогда.. =)
 
далее.. сугубо имхо, но смешивание типов авторизации НЕ есть "бест практикс".. т.е. если уж в самой проксе авторизация по ип, то и в портмапе тоже надо бы сделать по ип.. если же для обоих указать "ноне", то тогда смело выкидывай свои аллоу-листы для прокси - они всё-рно при этом не работают.. -)
 
теперь "по мелочам"..
 
0-я мелочь: по существу начальной проблемы с портмапом рдп - в целях, так скать, "обмена опытом" - поясни, какой смысл заворачивать клиентов из внутренней сети на внутренний же (!) хост (из той же подсети "0") именно через прокси? не проще ли каждому дать прямой доступ (по рдп) к машине 192.168.0.250 и исключить "лишние телодвижения"? варианты "зачем это может быть нужно" я знаю, интересует зачем/почему ты хочешь именно с помощью прокси решить стандартную (!) задачу раздачи доступа клиентов к серверу?
 
1-я мелочь: лимиты реально нужны? или это "от балды"? потому как глядя на:
Цитата:
nobandlimin * 192.168.0.2
nobandlimout * 192.168.0.2

bandlimin 10240000 * 192.168.0.250
bandlimout 10240000 * 192.168.0.250
скажу, шо по дефольту (!) лимитов в проксе и так нет! (зачеркнул лишнее).. судить же по вторым ограничениям трудно - само число вызывает сильные сомнения - это >10Мбит/с для машины, к которой ты хочешь подключиться по рдп, как понял.. вот и скажи мне - нафига резать скорость по локалке??? могу, правда, предположить, шо у тя внешний канал в 1Мбит и просто "вкрался лишний нулик", не?.. но и при "ашыпке/очепятке" непонятно - смысл в лимите, если пров его ставит на внешний (!) канал, а портмапить ты собираешься по внутренней сети?? нащёт "некруглости" циферки - понимаю, "мне так хочется", но напомню - это число означает "бит/с" и если уж хочешь отдать канал "под пробку" - всё-рно надо надо его менять..
 
2-я мелочь: зачем эта строка:
Цитата:
auth iponly
log
если ты уже задал ведение лога ДО авторизации (шо есть правильно)??.. имхо - лишнее, зачеркнул..
 
ну и ещё - не ошибка/косяк, но для полноты управляемости и "кошерности" конфига - задай конкретные порты для:
Цитата:
allow * 192.168.0.2 * * *  
allow * 192.168.0.43 * * *  
allow * 192.168.0.250 * * *
ну, как для всех остальных юзеров.. так будет лучше, потому как понятие "все" порты очень размазано и прокси при этом, к примеру, может ломиться на 20/21 порты фтп.. и хотя обломается по полной, но тупить будет "нипадеццки".. =)
если уж так хочется - задавай порты для "избранных" отдельным списком в файле, но задавай правильно (!) и исходя из реальной доступности этих портов именно через хттп-прокси.. кроме того, для НЕстандартных хттп портов лучше задать отдельные портмапы либо спец.прокси - фтп/поп/смтп/... либо экспериментируй с запуском прокси с параметром ТСР (в аллоу), указывая его (принудительно!)..
 
и напоследок - на всякий случай - надеюсь, строка с указанием порносайтов это именно одна строка, а не семь?..    
+ чисто для удобства я бы вынес запреты во внешний тхт-файл - конфиг намного читабельнее будет..
 
зы.
сам править твой конфиг не стал, потому как так "неинтересно" - ну тебе ж всё-рно с проксёй работать, вот и тренируйся на кошках.. х))

Всего записей: 12953 | Зарегистр. 07-06-2006 | Отправлено: 13:14 27-01-2014
Открыть новую тему     Написать ответ в эту тему

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » Программы » 3proxy


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru