В домене имеется компьютер, у которого прописан статический IP (192.168.1.57), все остальные параметры TCP/IP стека стандартные для компьютеров домена. Среди них шлюз и адреса DNS серверов. Как и всем компьютерам в домене ему предоставлен доступ к интернету через файрвол, он же прокси-сервер. Файрвол не является шлюзом для компьютеров домена, это отдельная ветка. Шлюзовой комп (он же маршрутизатор) выводит компы домена на отдельную внутреннюю глобальную подсеть без интернета.

В связи с установкой на тот компьютер спец. ПО (не умеет работать с системной проксей, иначе все было бы просто), которому необходимо предоставить доступ в интернет на определенный адрес (скажем в подсеть 15.15.15.0/24), было принято решение дописать прямой маршрут до файрвола, где посредством NAT выпускать комп на требующийся адрес. Маршрут добален и программа увидела сеть - все отлично и есть досуп к ресурсам домена, т.к. основной шлюз машины остался прежним (192.168.1.1).

Возникла проблема, которую ни как не могу решить - комп перестал ходить в инет через прокси . Точнее он в него ходит, но напрямую, т.е. на файрволе я ловлю запросы не на порт прокси, а обращения к сайту на прямки, так как если бы у компа шлюзом был бы адрес файрвола.
Файрвол настроен сначала пускать комп через прокси, а затем через NAT, но все обращения из браузера теперь транслируются через статический маршрут напряму в NAT.

Я пробовал устанавливать метрику с более высоким коэффициентом для добавленного маршрута, но результата это не дало - комп лезет напрямую.

Все машины XP SP3, сервера Server 2003 SP2, хотфиксы.

Есть ли возможность реализовать как задумано или это в принципе не правильный подход?




--------------------------------------------------------------
o(O_O)o

Alien99
UDP и только на один конкретный адрес из подсети 15.15.15.0/24

Biz©
для выхода на 15.15.15.0/24 браузер не используется, эта подсеть открыта для спец. ПО, которое установленно на компьютер, оно ничего про прокси не знает. С прописанным маршрутом работает как положено.

вы не внимательно читаете (а, возможно, из меня хреновый объясняльщик :) )!
я не говорил, что с компьютера собираются ходить через спец. ПО в инет через прокси.

Поясню.

Программа, которую поставили, вообще не предназначена для лазанья по сайтам, у нее своя сугубо утилитарная область задач и никакого интернет интерактива она не предполагает. Ей нужен доступ на конкретный адрес для обмена информацией с внешней организацией.
У юзеров есть открытые сайты, связанные с их работой и обучением, на которые они периодически заглядывают. Этот функционал обеспечивается стандартным браузером (IE8) через прокси. Вот он то и перестал видеть открытые адреса, точнее пытается на них идти по маршруту прописанному для той программы, вместо 192.168.1.10:3128.

согласен,

можно исправить?

ясно, спасибо

Alien99CerebrumПоясню.

Программа, которую поставили, вообще не предназначена для лазанья по сайтам, у нее своя сугубо утилитарная область задач и никакого интернет интерактива она не предполагает. Ей нужен доступ на конкретный адрес для обмена информацией с внешней организацией.
У юзеров есть открытые сайты, связанные с их работой и обучением, на которые они периодически заглядывают. Этот функционал обеспечивается стандартным браузером (IE8) через прокси. Вот он то и перестал видеть открытые адреса, точнее пытается на них идти по маршруту прописанному для той программы, вместо 192.168.1.10:3128.
Если программа лезет только на определенный хост, тогда зачем маршрут на целую подсеть?
вы задаете вопросы не по существу

я прекрасно знаю, что можно сделать маршрут с маской 255.255.255.255, но проблемы это решает - проверено, зато добавляет новых! Поэтому я решил оставить так, а файрволом уже ужать до 1-ого адреса. Все работает.

tracert по имени не может разрешить DNS в IP, tracert по IP не проходит, т.к. превышен интервал ожидания (более 11 прыжков, больше ждать не стал)

PS Лично я уже получил ответ на свой вопрос, меня этот ответ устроил. Раз не выходит так, будем искать другие пути, например, добавлю на файрвол еще одну группу правил и буду выпускать комп через NAT

никакого - это Dionis TS

Anatoly PodgoretskyCerebrumtracert по имени не может разрешить DNS в IP, tracert по IP не проходит, т.к. превышен интервал ожидания (более 11 прыжков, больше ждать не стал)

PS Лично я уже получил ответ на свой вопрос, меня этот ответ устроил. Раз не выходит так, будем искать другие пути, например, добавлю на файрвол еще одну группу правил и буду выпускать комп через NAT
У тебя еще и проблема с ДНС.
А совет с игнорирование прокси не попробовал, его надо применять к .57 и .1, может только к .1
с DNS-ом проблем нет, вся сетка домена нормально пингуется по IP и по NetBIOS именам. А все что касается внешних IP адресов юзеров волновать не должно, доступ к сайтам они получают через прокси в браузере (где и осуществляются посредством файрвола DNS<->IP операции). Я не уверен, что tracert умеет пользоваться такой штукой как прокси... отсюда и невозможность определить адреса. Ну а по IP не ходит потому что маршруты на шлюзе для них никто не прописывал. А кто их будет прописывать для всего интернета?

нет, нет, мне утаивать нечего, просто пока писал ответ вылетело из головы, да и человека от работы не хочется отвлекать. Но все таки побеспокоил и проверил и, к сожалению, не помогло, все равно стучится в файвол на прямую.

Alien99Cerebrum,

Кстати о птичках, NetBios имя не есть имя хоста в DNS.
Я в курсе, имелось ввиду "человеческое" имя компа, не IP адрес.