Чем сделать полноценный NAT под Винду
Routing and Remote Access в виндуз сервер 
Есть подозрение, что бесплатно - нереально.
Я в свое время файрволл от Kerio юзал. Он умеет правильные НАТы делать.
Я в свое время файрволл от Kerio юзал. Он умеет правильные НАТы делать.
ISA
Рекомендуенмое Микрософт средство.
Но оно тоже стоит дополнительных денех.
Рекомендуенмое Микрософт средство.
Но оно тоже стоит дополнительных денех.
RRAS
только хреново там с его конфигурированием. То, что запросто можно сделать iptables, в нем может быть невозможно в принципе
только хреново там с его конфигурированием. То, что запросто можно сделать iptables, в нем может быть невозможно в принципе
ISA ж это прокся oO
Ды тут уже всё перечислили:
RRAS (free)
MS ISA 2006 Std($1200, или $320 за академическую версию)
Kerio Winroute Firewall ($500 с антивирем, $400 - без)
RRAS (free)
MS ISA 2006 Std($1200, или $320 за академическую версию)
Kerio Winroute Firewall ($500 с антивирем, $400 - без)
Кстати, впечатления от использования.
1) Kerio. Настраивать не пробовал. Написал одно правило allow frow any to any via any (ну или как-то так) При этом Kerio отожрал 20% проца и хавал их постоянно во время работы. Я решил, что такое чудо мне на компе не нужно, каким бы функциональным оно не было. Боюсь представить загрузку проца при создании более сложной цепочки правил
2) RRAS нативная фича винды. Бедна настройками, но для очень многих задач их хватает. Не совместима с windows firewall'ом - меня это не напрягает. Настройки графические и не слишком очевидные. Хотя все же методом тыка разобраться можно. Сильно напрягает только то, как майкрософт именует различные фичи и опции. Вместо описания того, что делает эта фича, очень часто в названии помечается для чего она нужна (одно или два применения подобное именование сводит с ума и вынуждает использовать вышеупомянутый метод тыка.
3) ISA server - зверь, который у меня заслужил черную метку. Представляет собой по большей части надстройку на RRAS и шаблоны его использования, а также систему аудита. В настройках он крайне неочиведен, болен всеми болячками RRAS, но только в более тяжелой форме. За два часа, которые он прожил на моем компе, у меня создалось впечатление, что именно функции NAT'а у него не больше, чем у RRAS, и с помощью последнего и скриптов для его конфигурирования, можно добиться большей части того, что умеет ISA. Помучив иконки GUI, я достаточно быстро осознал что он мне был не нужен (та функциональность, что мне требовалась не была прописана в шаблонных методах использования) я его снес. После этого я его стал ненавидеть еще больше, так как он при деинсталляции грохнул настройки винды, касающиеся сетки, (чтобы неповадно было, видимо) и мне пришлось заново настраивать RRAS и Security Policy. (Файервол как был отключен, так и остался). Так что никому не советую ставить эту сволочь, либо бэкапить свои настройки перед экспериментами
4) Тут забыли еще одну прогу - простая, удобная, конфигурируемая очевидным образом (текстовый файл с достаточно понятными и полными комментами, а также мануал) прога, которая позволяет поднять биллинговую систему на основе RRAS (больше никакие средства для работы с сетью не используются - следовательно минимум конфликтов в том числе вести учет трафика, проходящего через NAT. RasAdminExt - ее название. Я так понимаю, что назначение у нее тоже, что и у ISA, но реализована она более просто и нет ничего лишнего, не приходится ломать голову, как оно работает и как заставить ее работать.
1) Kerio. Настраивать не пробовал. Написал одно правило allow frow any to any via any (ну или как-то так) При этом Kerio отожрал 20% проца и хавал их постоянно во время работы. Я решил, что такое чудо мне на компе не нужно, каким бы функциональным оно не было. Боюсь представить загрузку проца при создании более сложной цепочки правил
2) RRAS нативная фича винды. Бедна настройками, но для очень многих задач их хватает. Не совместима с windows firewall'ом - меня это не напрягает. Настройки графические и не слишком очевидные. Хотя все же методом тыка разобраться можно. Сильно напрягает только то, как майкрософт именует различные фичи и опции. Вместо описания того, что делает эта фича, очень часто в названии помечается для чего она нужна (одно или два применения подобное именование сводит с ума и вынуждает использовать вышеупомянутый метод тыка.
3) ISA server - зверь, который у меня заслужил черную метку. Представляет собой по большей части надстройку на RRAS и шаблоны его использования, а также систему аудита. В настройках он крайне неочиведен, болен всеми болячками RRAS, но только в более тяжелой форме. За два часа, которые он прожил на моем компе, у меня создалось впечатление, что именно функции NAT'а у него не больше, чем у RRAS, и с помощью последнего и скриптов для его конфигурирования, можно добиться большей части того, что умеет ISA. Помучив иконки GUI, я достаточно быстро осознал что он мне был не нужен (та функциональность, что мне требовалась не была прописана в шаблонных методах использования) я его снес. После этого я его стал ненавидеть еще больше, так как он при деинсталляции грохнул настройки винды, касающиеся сетки, (чтобы неповадно было, видимо) и мне пришлось заново настраивать RRAS и Security Policy. (Файервол как был отключен, так и остался). Так что никому не советую ставить эту сволочь, либо бэкапить свои настройки перед экспериментами
4) Тут забыли еще одну прогу - простая, удобная, конфигурируемая очевидным образом (текстовый файл с достаточно понятными и полными комментами, а также мануал) прога, которая позволяет поднять биллинговую систему на основе RRAS (больше никакие средства для работы с сетью не используются - следовательно минимум конфликтов в том числе вести учет трафика, проходящего через NAT. RasAdminExt - ее название. Я так понимаю, что назначение у нее тоже, что и у ISA, но реализована она более просто и нет ничего лишнего, не приходится ломать голову, как оно работает и как заставить ее работать.
У нас используют ISA - но там он в связке с SurfControl-ем и Bandwidth Splitter. От него нам нужен билинг, отказоустойчивость, аутентификация в домене. А простому юзеру он и правда ни к чему.
От него нам нужен билинг, отказоустойчивость, аутентификация в домене0) RRAS - NAT
1) Биллинг - RasAdminExt
2) Октазоустойчивать - хз, проработал несколько месяцев, никогда не падало, прекращало работать, только когда один очень умный человек из нашей подсети решил взять себе макадрес серва
3) У RRAS есть Radius авторизация. С майкрософтовским доменом не работал, поддерживает ли он радиус я не знаю.
Ну в общем я говорил уже, что на мой взгляд для NAT ISA серв дает мало нового. Хотя на больших задачах >=50 машин не тестил.
Этот ISA умеет делать ещё много чего - публикацию сервиса в инете, VPN между сетями, прозрачный прокси. Своего рода мелкософтовский ответ чекпойнту. Ну и на кэшированном и всяком adult/banner трафике сэкономить неплохо получается.
при этом вингейт стоит 75$ на трёх пользователей(мне больше не нужно )
)Оставить комментарий
yolki
желательно бесплатноICS слишком примитивен и не секьюрен.
WinGate хорош, но за деньги.