Не очень давно перешол на Comodo.
Интересует вопрос насколько реально настроить данный софт на работу с несколькими сетевыми интерфейсами. Суть заключается в следующем - имеем 2 подключения к интернет на 1 компе. Хотелось бы сделать так чтобы заставить Comodo направлять трафик конкретной программы на избранный сетевой интерфейс. Необходимость связана с использованием различных провайдеров и получается так что один сетевой диапзон адресов в одном случае является платным вдругом бесплатном. Вот и хотелось бы с помощью Comodo “развести” свой трафик должным образом. Если конечно сие возможно.
Фаер может только запретить или разрешить приложению выход в определенные диапазоны. А уж куда оно должно тыкаться решает маршрутизация.
Добро пожаловать на форум, Uncle_Sam33
В принципе, можно запретить приложению доступ с MAC-адреса одной сетевой карты и разрешить доступ с другой. В этом случае (если доступен один и тот же ресурс через разные сетевые одновременно), по идее может и сработать. Гарантировать не могу, т.к. на тестовой машинке ещё не пробовал подобного.
Не должно сработать.
Если один интерфейс - интерфейс по умолчанию - и его запретить в CIS, то никто никуда не выйдет.
Здесь именно маршрутизация нужна: одни адреса через один шлюз, оставшиеся - через другой (через шлюз по умолчанию).
Много спорного =)
Uncle_Sam33, большая просьба поточнее рассписать Вашу конфигурацию подключений. Что и когда является шлюзом по умолчанию. Что и когда “всегда включено”, а что дополнительно запускается из Ваших 2-х соединений.
Много спорного =)[b]exproff [/b], ну почему же. Вот провёл реальный эксперимент. Условия (домашний интернет): локальный IP из диапазона 10.0.0.0/8, внешний IP из диапазона 95.24.0.0/16 (интернет через VPN L2TP). По DHCP приходят маршруты для доступа к внутренним ресурсам через локалку (чтобы бесплатно было). Среди маршрутов выбрал один (до форума провайдера - 85.21.72.83), который само собой идёт через внутренний шлюз (10.х.х.х). Шлюзом по умолчанию при подключённом интернете является внешний IP, т.е. как понимаете при отсутствии маршрутов трафик будет идти через него. Итак, добавляю в "Глобальные правила" в самом верху такое: [b]Блокировать TCP/UDP Исходящие Из 10.0.0.0/8 В 85.21.72.83 где порты любые[/b] и после этого сайт не отрывается. До этого правила всё работало. Если убрать правило - тоже работает.
Согласен. Однако метод решения на записях в роутинге не решает конкретной проблемы.
С её помощью мы можем заставить ВСЕ приложения идти по конкретному пути. Избирательно не выйдет.
Это верно. Через маршрутизацию только по IP и диапазонам можно расписать.
И CIS тоже не помощник в данной ситуации.
Может есть какой софт, который по приложениям роутит ? Честно говоря, я не встречал такого (не буду утверждать, что его не существует в природе), а топикстартеру именно такой и нужен.
Или же если у автора именно по диапазонам платность/бесплатность определяется, то как раз простая маршрутизация в виндосе ему поможет.
Конфигурация следующая -
Одна сетевая карточка - подключение по локалке у которой на конце WiMAx имеем постоянный IP и бесплатный трафик в определенных диапазонах.
Вторая сетевая карточка - подключение по локалке у которой на конце оптика. имеем постоянный IP и всюду трафик безлимитный на определенной скорости.
(но в принципе это все может работать и на одной карточке посредством одновременного поднятия нескольких vlan поэтому танцы с mac адресом хотелось бы избежать, хотя можно ина 2 карточки раскинуть)
Желание объединить этот фарш в одновременную контролируюмую работу.
Некое подобие того что хочется вроде бы позволяет сделать rdifw, но пока с этим портом не разбирался. Просто предсказуемость и управляемость Comodo в остальном устраивает.
Uncle_Sam33, всё это делается посредством встроенной в виндос утилиты маршрутизации route.
В вашем случае назначаем подключением по умолчанию вторую карточку. Т.о. все неуказанные в маршрутах IP будут идти через неё.
После этого создаём постоянные маршруты через первую карточку для диапазонов, которые хотим через неё пускать. Делаем всё это в консоли (cmd):
route -p ADD IP_назначения mask маска_назначения шлюз
или
route -p ADD IP_назначения mask маска_назначения IF-интерфейс
Маска необязательна, её удобно использовать для задания диапазонов. Вообще по команде route /? можно увидеть все параметры этой команды с примерами.
Но следует учитывать, что я дал команды для постоянного запоминания маршрутов. А если, например, первая сетевая карточка не всегда включена, то при постоянных маршрутах и при выключенном состоянии первой карточки трафик, который маршрутизируется на неё, может никуда не уйти.
В таком случае можно сделать bat-файл с командами route, но без параметра -p и запускать этот батник перед использованием интернета одновременно на двух сетевушках. В этом случае маршруты будут действовать до перегрузки.
Можно также использовать и постоянные маршруты, но создать батник, который будет временно удалять маршруты через первую карточку при её неработоспособности (т.е. удалять без параметра -p).
Уйдет на другой интерфейс, что и требуется. При отключении адаптера маршрут, прописанный на него станет неактивный.
Поэтому достаточно прописать -р халявные диапазоны на шлюз ваймакса. А 0.0.0.0 и так уже назначен по-умолчанию для анлим-карты.
Тогда надо в маршрутах интерфейс прописывать, а не IP. Не подумал об этом.
Не обязательно. Если IF не задан, ищется лучший адаптер для шлюза. И тоже отработает как надо.
Тогда возьмём такой вариант: прописали в маршруте шлюз в виде IP, а не в виде интерфейса.
После этого отключаем адаптер, через который доступен этот шлюз напрямую (в данном случае это IP отключаемой сетевой карты).
Разве после этого виндос поймёт, что ему не нужно использовать маршрут до сайта через недоступный IP (т.е. через недоступный шлюз) ? Виндос отправит пакеты через доступный интерфейс, но направит эти пакеты на недоступный IP (недоступный шлюз) и так его и не найдёт. После этого, по идее, должна быть выдана информация, что сайт недоступен. Или я не прав ?
Ведь в таком варианте маршрут не должен сбросится. Или же всё-таки сбросится, т.к. при прописывании маршрута ему был присвоен отключенный в настоящий момент интерфейс ?
Если был прописан IF, то при откл. интерфейсе маршрут станет неактивный и маршрутизация отработает без этой прописи.
Если был прописан шлюз, то ищется лучший интерфейс. Включен ваймакс - полезет через него, выключен - полезет по-умолчанию.
И тот и другой вариант даст нам искомое решение.
После этого отключаем адаптер, через который доступен этот шлюз напрямую (в данном случае это IP отключаемой сетевой карты).Шлюз и адрес карты - разные вещи. Вы же не прописываете адрес шлюза в виде своего адреса!
В общем проверил: сделал маршрут через внешний IP (он у меня динамический). Потом отключил интернет и маршрута нет, подключил заново (IP уже другой) - маршрута тоже, само собой нет.
Значит всё-таки при выключении интерфейса маршрут становится неактивным даже если был прописан не интерфейс, а IP. Т.е. получается, что всё-таки в таблице связка шлюз-интерфейс сразу запоминается и потом поменяться сама не может.
В данном случае я подумал, что адрес сетевой и шлюз один и тот же.
У меня немного другой случай, но при подключении к интернету через vpn у меня мой внешний IP и шлюз совпадают.
Разным языком говорим об одном и том же 
Но в целом почти так.
Я просто писал о том, что батники, отменяющие маршрут в нашей задаче совсем не нужны.
P.S. А пропись IF зависит от ситуации. В данном случае она не обязательна. И так сработает.
Мне вполне понятны танцы с route. Но …
Во первых получается что windows знает обходной маршрут и не взирая на то что я задираю метрику маршруту может гнать и через него пакеты исходя из своих внутреннихъ убеждений (как то например она не получит отклик) - а это реальные деньги.
Во вторых есть софт который необходимо “развести” по имеющимся бесплатным каналам не по маршрутным приоритетам а жестко и конкретно привязав их к IP с каких они выходят (в настройках программ нет такого).
А вот здесь уже вступает фаер. Прописываем несколько сетей, исходя из адаптеров. И запрещаем какому-нибудь uTorrent выход в Сеть1, например. И тд.