Добрый день! Объясните не разбирающемуся в маршрутизаторах.
На текущий момент есть ПК (Win2003) на котором настроен NAT для доступа пользователей в инет по VPN, на нём же установлен FTP сервер. Но переодически Ping этой машины увеличивается до 4000-5000 по непонятным причинам.
Что нужно вставить в схему что бы реализовать следующее:
если пользователель хочет в инет, то он направляется на модем а если на ftp, то на ПК + закрыть от пользователей все лишние порты дабы они не беспокоили по напрасну ни модем ни Ftp сервер.

ps. Интересует реализация с минимальной затратой денег.

Если все устраивает кроме пинга, может лучше с сервером разобраться? Например, переустановить.

Сколько пользователей ходят в инет и на фтп?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нагрузка на проц 2003-го в такие моменты какая? Сетевухи на серваке какие стоят?

Вроде как всё нравиться!
сетевая в lan - 3COM 3C905C.
в модем - встроенная.
Нагрузка на ЦПУ максимум 30%, больше не когда не видел.
Всех пользователей порядка 40 человек, одовременно в инете человек 10 максимум.
С ftp качают в основном 200-300Кб (тоесть смотрят в онлайн - до 5 человек, больше не замечал).
Качают на весь канал редко. Специально просил лить всех что угодно, пинг не увеличился, хотя качало порядка 15 человек.
Переустановка помогает на чуть-чуть буквально на месяц - потом опять тоже самое. Пинг увеличивается где-то раз в сутки, но выбавает что и шапет неделю без проблем. вообщем появляется хз откуда и как.

Подскажите как можно отловить из-за чего это.

1) Фаер поставьте с логированием и следите за трафиком, например Kerio Server Firewall или Outpost.

Главное - не перекрывайте никакие порты и не ставьте никакую защиту - просто наблюдайте за трафиком, идущим в сервак или от него.

2) Заходим сюда: http://www.ptsecurity.ru/xs7download.asp
качаем програмку, ставим и сканируем 127.0.0.1, после окончания сканирования внимательно вникаем в результаты скана.

Подскажите плиз.
включил логирование в outpost, получается во вкладке сетевая активность у процесса ALG.exe более 500 соединений после 1дня и 2 часов работы, а в самом начале было около 50!
http://webfile.ru/2254746 - вот логи !!

ALG.EXE :

Application Layer Gateway service is a component of of Windows OS. It is required if you use a 3rd party firewall or Internet Connection Sharing (ICS) to connect to the internet. Do not end this program in task manager - you will lose all internet connectivity until next restart or login.

Это у вас шара работает.

Спайдер много дыр нашел?

вот скрин спайдера!
http://webfile.ru/2260873
1000 порт - занят мной, остальное системное.

Выключите службу Remote Registry - возможно через неё вас вири долбят, она дырявая шоппц

А вы не думали купить какую нибудь железку серии DI или DFL, и поставить ее в качестре "интернет-шлюза", всем извесно что Windows извесна своимы дырами, а тут даже если с компом чтото случится то "интернет" у вас будет. Я например сначала купил DI808- простенько настраивается опятьже русский мануал имеется, и таже самая DMZ зона куда можно поставить FTP сервер. Сейчас DFL210 - расширенные возможности по более тонкой настройке, да и производительность значительно више DI. Соответственно и стоимость DI808/804 до 100$ и DFL210 около 300$ не такие большие деньги для такого количества народа как у вас. Из так сказать старой "системы" у меня остался прокси-сервер установленный на компютере (на немже висит и почтовый сервер и небольшой WEB -сервер), с случае отказа интернет канала я подключаю к этому компютеру CDMA терминала и у меня это резервный резервный канал. Часть пользователей я пуская напрямую через "екран", а часть через "прокси", на этом компе у меня еще стои и антивирус так что получается дополнительная проверка на вирусы.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Yura_kiev, если руки растут из того места, откуда должны - винды прекрасно справятся с поставленной задачей. И не говорите, что где-то там есть такие-то дыры в безопасности. Они везде есть, в железе тоже.

Автору надо просто немного поработать с обеспечение безопасности и всё у него заработает как надо.

Автору: не используйте ICS для раздачи инета. Самый нормальный способ - это RRAS, он у вас тоже есть, функционала на нём больше, возможности расширения огромные.

Ну посколько автор поста написал именно в даную тему, данного форума, то я думаю его интересует именно покупка устройства, потому как настройка винды описана совсем на других форумах, а то мы вместо совета че купить за железку рекомендуем как настроить винду.
Мой личный совет автору или купите DI804 или если нужна железка с более расширенным функционалом и производительностью то это DFL210. Лично бы я купил DFL210 (если конечно деньги есть).

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

вынужден, так сказать. просто как юороться непонятно. а постоянно менять винду тоже не вариант!
Закономерность была выявлена только пока с Alg.exe. В outpost в отображении сетевой активности процесс alg.exe постепенно увеличивает колличество сетевых подключений и все они кроме нескольких последних имеют "Режим бездействия". Когда примерно кол-во таких подключений достигает 500 штук система падает.

Помогите советом.

Ну это вам надо на другой форум. На ixbt например.

Возьмите DFL-210, если таки надумаете.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

RRAS настройте вместо ICS, работать будет лучше (у меня месяцами держит онлайн по 300 клиентов)