<r>Если очень хочется использовать новые версии ФПСУ-IP/Клмента, как вариант, на multihomed шлюзах использовать NAT для проброски udp 87, как было описано foodmaster'ом. Для того, чтобы прикрыть NAT от прочего трафика, как я уже предлагал, можно использовать самый простейший брандмауэр - wipfw, который с легкостью можно скачать с <URL url="http://www.sourceforge.net">www.sourceforge.net</URL> и с такой же легкостью установить. При этом, UserGate 2.8 остается при своей роли - кеширующий непрозрачный прокси.
<URL url="http://sourceforge.net/projects/wipfw/files/">http://sourceforge.net/projects/wipfw/files/</URL>
К большому сожалению, wipfw только 32-битный и уверенно функционирует только на NT системах до 5-ой версии включительно и всех ее подверсий (Win2k/XP/2k3/2k3r2 32bit <B><s>
</s>ONLY<e></e></B>). Но если кому сильно загориться собрать 64-битный драйвер, в том же месте лежат исходники - при желании и достаточных знаниях можете попробовать.
Установку можно произвести в каталог "%ProgramFiles%\wipfw", т.е. разархивировать туда содержимое архива. Затем, с правами администратора системы запустить install-deny.cmd (от install.cmd отличается установкой драйвера с отсеиванием по умолчанию всех пакетов (закрытая конфигурация)). При установке регистрируется драйвер и служба помощник, которая стартуя грузит правила в драйвер из "wipfw.conf". За подробным описанием рекомендую обратиться к readme.txt из архива с wipfw.
Чуть ниже я набросал примерный конфиг для общего случая (шлюз на базе Windows NT 5.x, два интерфеса, нет своего DNS и т.п.). Предполагается, что ip адресация настроена правильно, eth0 - интерфейс в сторону WAN, eth1 - интерфейс в сторону LAN (проверить "who is who" из интерфейсов можно командой ipfw -L); на WAN, помимо ip адреса и маски подсети, прописан шлюз и сервера имен провайдера; на LAN - только ip адрес и маска подсети; интерфейс WAN отвязан от служб Microsoft и отключен NetBIOS.
Если интерфесы в WAN и в LAN не eth0 и eth1, то привести в соответствие можно либо правкой конфига, либо правкой настройки интерфейсов.
<B><s>
</s>ns1<e></e></B> и <B><s>
</s>ns2<e></e></B> - серверы имен провайдера, а также <B><s>
</s>amivpnsvr01<e></e></B> - AmiVPN сервер из настрки VPN-Key, рекомендую прописать в файл "%SystemRoot%\system32\drivers\etc\hosts"
Очень может быть, что приведенный мной конфиг полностью функционален, но в данный момент нет возможности проверить.
Никаких наворотов - от хоста в WAN все разрешено, обмен с LAN разрешен в обе стороны, разрешен проброс udp 87 из LAN в WAN на amivpnsvr01 (проброс осуществляется родным виндовым NAT'ом).
Если что-то не работает, раскоментируйте последнее правило, прогрузите драйвер и анализируйте "%systemroot%\security\logs\wipfwYYYYMMDD.log".
<B><s>
</s>wipfw.conf<e></e></B>
<CODE><s>
Код:
</s>-f flush
add 1 check-state
add 10 allow ip from any to any via lo*
add 10 allow icmp from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 20 deny log all from any to 127.0.0.0/8 in
add 20 deny log all from 127.0.0.0/8 to any out
# Prevent syn-fin scan of TCP ports
add 21 drop log tcp from any to me in tcpflags syn,fin
add 21 drop udp from any to any 1900 via eth0 # UPnP
add 22 drop 2 from any to any
# -- LAN to me permit all
add 300 allow tcp from 192.168.1.0/24 to me in recv eth1 setup keep-state
add 300 allow udp from 192.168.1.0/24 to me in recv eth1 keep-state
add 301 allow tcp from me to 192.168.1.0/24 out xmit eth1 setup keep-state
add 301 allow udp from me to 192.168.1.0/24 out xmit eth1 keep-state
# -- me to WAN permit all
add 400 allow tcp from me to any out xmit eth0 setup keep-state
add 401 allow udp from me to any out xmit eth0 keep-state
# -- DNS
#add 500 allow udp from me 1024-65535 to ns1 53 out xmit eth0 keep-state
#add 500 allow udp from me 1024-65535 to ns2 53 out xmit eth0 keep-state
# -- DNS NAT (from me&LAN to WAN)
add 501 allow udp from 192.168.1.0/24 1024-65535 to ns1 53 in recv eth1 keep-state
add 501 allow udp from 192.168.1.0/24 1024-65535 to ns2 53 in recv eth1 keep-state
# -- AmiVPN NAT (from me&LAN to WAN)
add 600 allow udp from me 1024-65535 to amivpnsvr01 87 out xmit eth0 keep-state
add 600 allow udp from 192.168.1.0/24 1024-65535 to amivpnsvr01 87 in recv eth1 keep-state
# ICMP rules
add 1000 allow icmp from me to any out icmptype 8 # echo request
add 1000 allow icmp from any to me in icmptype 0,11,3 # echo reply, TTL exceeded, destination unreachable
add 1001 allow icmp from 192.168.1.0/24 to any in recv eth1 icmptype 8 # allow incoming&NAT echo request
add 1001 allow icmp from me to 192.168.1.0/24 out xmit eth1 icmptype 0,11,3 # allow outgoing to LAN
#add drop log all from any to any<e>
</e></CODE></r>
</E><e>
</E><e>
</E>
</e></IMG><e></e></URL>