Описание быстрого старта программы здесь

Основные изменения последних версий, связанные с IPv6, которые могут быть не очевидными:

В тех местах GUI конфигуратора, где можно указать только один адрес (например, в "Специальных" настройках правил или в "Мастере-генераторе правил" - "Отображение портов", при необходимости в единственном правиле указать и IPv4, и IPv6 адрес, укажите их через пробел. В зависимости от типа протокола пакета будет браться то или иное значение.

Перенаправление на IP адреса 127.0.0.2 и ::2 перенаправляют соединение на IP адрес источника. Совместно с NAT или специальным NAT таким образом можно "Заворачивать" RDP, SSH, VNC, FTP соединения на компьютер злоумышленника (таких рекомендаций нет в RFC), пытающегося подобрать пароль к этим сервисам, оставив для себя обычный вход с IP из белого списка или с авторизованных IP.

Если нужно использовать конфигурацию с IPv4 NAT и IPv6 без NAT, самое простое - настроить "Режимы NATов по умолчанию" на странице "Настройки", оставив правила, как для обычного NATа.

Для включения вновь обычного (не тестового) режима Windows, Вам, возможно, нужно будет деинсталлировать RusRoute фаервол и все неподписанные сторонние драйверы, выполнить команду

Демонстрационные ролики, показывающие некоторые возможности фаервола RusRoute и способы его настройки.

Документация к программе RusRoute (маршрутизирующий фаервол, Интернет - шлюз).

RusRoute фаервол 3.3.9

Содержание

1. Назначение программы.
2. Системные требования.
3. Установка программы.
4. Активация программы.
  4.1. Что даёт активация демо-версии программы.
  4.2. Что даёт активация полной версии программы.
  4.3. Активация.
5. Правила лицензирования.
6. Описание диалоговых окон программы.
  6.1. Окно "О программе".
  6.2. Окно "Настройки".
  6.3. Группа окон "Информация о сети".
    6.3.1. Сетевые адаптеры.
    6.3.2. Таблица маршрутизации.
    6.3.3. Таблица Arp.
  6.4. Группа окон "Списки".
    6.4.1. Списки адаптеров.
    6.4.2. Списки IP адресов.
    6.4.3. Список сетевых протоколов.
    6.4.4. Расписание.
  6.5. DHCP серверы.
  6.6. Мультикаст прокси.
  6.7. FTP серверы.
    6.7.1. FTP соединения.
  6.8. Управление заторами TCP.
  6.9. HTTP кеш.
  6.10. Данные фильтров.
  6.11. Схемы биллинга.
  6.12. Журналы.
  6.13. Пользователи.
    6.13.1. Информация о пользователе.
  6.14. Шейперы.
  6.15. Расписание задач.
  6.16. Правила фаервола.
     6.16.1. Мастер-генератор правил.
  6.17. Группа окон "VPN".
    6.17.1. Роль VPN.
    6.17.2. VPN пользователи.
  6.18. TCP соединения.
  6.19. UDP соединения.
  6.20. Заблокированные IP адреса.
  6.21. Запрещённые IP адреса.
  6.22. Протоколы.
    6.22.1. Протокол http.
    6.22.2. Протокол ftp.
    6.22.3. Протокол dns.
    6.22.4. Протокол работы (общий протокол).
7. Web API.
8. Техническая поддержка программы.


1. Назначение программы.

RusRoute (маршрутизирующий фаервол, Интернет - шлюз) - идеальное решение для организации выхода в Интернет локальной сети организации, подсчёта и ограничения трафика пользователей, защиты от сетевых атак, с функциями NAT, redirect, VPN для организации корпоративного удалённого доступа, proxy, мост LAN в VPN, кешированием HTTP, DHCP серверами, FTP серверами, мультикаст UDP прокси, временем действия и сплиттерами для правил.

RusRoute состоит из трёх частей: драйвера, перехватывающего Ethernet и IP-пакеты(пакеты протокола Интернет версии 4 и 6) и передающего эти пакеты для обработки службе - модулю фаервола, и GUI приложения пользовательского интерфейса для отображения состояния фаервола, мониторинга соединений и изменения его настроек.

Модуль фаервола - наиболее интеллектуальная часть программного продукта, обеспечивает связь (маршрутизацию) пакетов между сетями с дополнительными функциями, такими, как

• маршрутизация трафика
• преобразование IP адресов (NAT - Network Address Translation) и номеров портов
• перенаправление
• шейперы
• VPN (корпоративная виртуальная защищённая сеть)
• прокси
• мост LAN в VPN
• кеширование HTTP
• DHCP/RA серверами
• FTP серверы
• мультикаст UDP прокси
• фильтрация пакетов сетевых протоколов в соответствии с заданными правилами, временем, с разветвлением исходящих маршрутов (сплиттеры)
• авторизацию, аутентификацию, аккаунтинг и биллинг пользователей (вход в систему RusRoute, предоставление пользователям прав на использование ресурсов сети, ведение статистики использования трафика сети и подсчёт потраченных средств для каждого пользователя).

2. Системные требования.

Программа работает под управлением операционной системы Windows 10/11, некоторых серверных ОС поколения Windows 10 и старше, 64 бит. Младшие версии Windows (начиная с Windows 7) не поддерживаются, т.к. разработка самоподписанного драйвера для этих систем не ведётся, и их функции ограничены. Минимальные требования к компьютеру - 4 ядра CPU, 4 Гб ОЗУ, сеть 1 x Ethernet 10/100 Мбит/с, подключение к Интернет через этот же или другой ADSL, ETTH или другой Ethernet-совместимый контроллер. Рекомендуемые системные требования: Intel I7-7700K 4.2 ГГц, 8Гб ОЗУ, Gigabit Ethernet для LAN, 100/1000 Mbit/s Ethernet адаптер для Интернет подключения, Windows 10 x64.

Требования к компьютеру возрастают при увеличении числа активных пользователей и увеличении требований к скорости работы сети.


3. Установка программы.

Для установки программы запустите программу установки, прочитайте лицензионное соглашение и следуйте инструкциям программы установки.

Программа установки предлагает заменить файлы новыми, если установка осуществляется поверх существующей версии. Обновление "поверх" предыдущей версии не переустанавливает драйвер. После распаковки необходимых для работы файлов запустится программный модуль, который установит необходимый драйвер в операционную систему и службу самого фаервола. VPN адаптер можно не устанавливать, если не планируете настраивать защищённую сеть между двумя и более ПК с RusRoute фаервол.

После перезагрузки следует сгенерировать первоначальные правила фаервола, и включить его в Настройках. Если сеть не заблокирована, то первоначальная настройка успешна, следует перейти на вкладку "О программе" и ввести регистрационные данные (имя пользователя, адрес e-mail пользователя, серийный номер программы), после чего в контекстном меню списка, содержащего регистрационную информацию (вызываемом по нажатию правой кнопки мыши) выбрать пункт "Проверить ключ и сгенерировать запрос на активацию". Если ключ введён правильно, то в списке отобразится сообщение "Ключ верен". После этого можно скопировать запрос на активацию в буфер обмена и отправить его по электронной почте на адрес службы поддержки support@rusroute.ru или осуществить запрос на активацию позже.

Для корректной работы фаервола, возможно, потребуются права администратора (это следует учитывать при ручном перезапуске фаервола).

Предустановленная конфигурация фаервола не подходит для конечного применения, RusRoute стартует в отключенно режиме для возможности установки его через удалённый доступ, пропускает все сетевые пакеты через модуль драйвера (фаервол отключен в окне "Настройки"). Настройка конфигурации для конкретного применения заключается в использовании мастера-генератора правил, редактировании списков и правил, добавлении пользователей, изменении схем биллинга, а также других изменений (по желанию), и включении фаервола в окне "Настройки".

RusRoute фаервол не работает со включенным стандартным фаерволом Windows, поэтому программа утсановки его отключает.

4. Активация программы.

4.1. Что даёт активация демо-версии программы.

Активация демо-версии программы даёт возможность пользоваться в программой с целью оценки пригодности её в ваших целях не 7, а 15 дней, но активацию в этом случае нужно произвести до истечения 7-и дневного пробного периода.

4.2. Что даёт активация полной версии программы.

Активация полной версии программы реально включает возможность одновременной работы того количества пользователей, для которого приобреталась программа (что определяется также серийным номером, выданным после приобретения программы).

4.3. Активация.

Для активации программы следует сначала отправить запрос на активацию на e-mail support@rusroute.ru. Запрос на активацию генерируется программой RusRoute при проверке ключа во вкладке "О программе". Текст письма с активационным кодом, полученный от службы поддержки, следует скопировать в буфер обмена (clipboard) и вставить через контекстное меню той же вкладки "О программе", затем выбрать пункт меню "Проверить ключ и код активации". В случае успеха, в списке отображается соответствующее сообщение и количество пользователей, доступных в системе.

5. Правила лицензирования.

Лицензия определяется серийным номером и кодом активации. Тип лицензии определяется по количеству пользователей, одновременно работающих в системе. Уникальность пользователя определяется IP адресом, с которого он работает. Поэтому под количеством пользователей подразумеваем количество авторизованных IP адресов в системе. Внимание: если вход в систему осуществлён на компьютере-фаерволе RusRoute с локального адреса 127.0.0.1 или ::1 (через web-интерфейс), то на самом деле одному пользователю-фаерволу соответствует несколько IP адресов (IP адреса всех сетевых плат на компьютере). Это следует учитывать в определении количества пользователей приобретаемой программы. Аналогично, если авторизация пользователя, работающего на компьютере-фаерволе RusRoute настроена автоматическая по адресу фаервола, то при любой активности каждого IP адреса фаервола происходит автоматический вход пользователя в систему с данного адреса, если данный адрес ещё не используется в системе. Обычно количество локальных IP адресов фаервола не велико (не более 3-8).

ЛИЦЕНЗИОННЫЙ ДОГОВОР (СОГЛАШЕНИЕ) ПОЛЬЗОВАТЕЛЯ

Настоящее Лицензионное соглашение (договор) является предложением (публичной офертой) и содержит порядок и все существенные условия использования Вами (далее – «Пользователь») программы для ЭВМ “RusRoute firewall” (далее «Программа»).
В соответствии с настоящим соглашением Автор – физическое лицо, гражданин РФ Моисеенко Андрей Алексеевич (ИНН 500800435910) (далее «Правообладатель») – обладатель исключительных имущественных авторских прав на программу для ЭВМ “RusRoute firewall”, включая Руководство пользователя к ней в печатном и/или электронном виде – обязуется предоставить Пользователю (напрямую либо через третьих лиц) неисключительное право на использование Программы, ограниченное правом инсталляции и запуска Программы в соответствии с установленными настоящим Соглашением (договором) правилами и условиями (простая неисключительная лицензия).

Порядок акцепта оферты (лицензионного соглашения)
Настоящая оферта (лицензионное соглашение/договор) считается акцептованной Пользователем в случае соблюдения одного из двух следующих условий:
1) Выбор Пользователем пункта «Я принимаю условия Лицензионного соглашения» при установке Программы и нажатие на кнопку «Далее» означает безоговорочное согласие Пользователя с условиями настоящего соглашения.
2) Факт оформления заказа, оплаты или получения Пользователем от Правообладателя или уполномоченных третьих лиц неисключительных прав на использование Программы на основании (на условиях) настоящего договора (соглашения) означает безоговорочное согласие Пользователя с условиями настоящего соглашения.

Порядок передачи и стоимость прав
В соответствии с настоящим Лицензионным соглашением Пользователь обязан в срок до 30 (тридцати) календарных дней с момента акцепта оферты получить от Правообладателя (напрямую или от уполномоченных третьих лиц) неисключительные права на использование Программы. Моментом передачи прав Пользователю считается момент подписания Правообладателем (или третьим лицом осуществляющим передачу прав) соответствующего Акта приемки-передачи. За полученные права Пользователь обязан уплатить фиксированное вознаграждение, размер которого определяется условиями соглашения Пользователя со стороной, осуществляющей передачу прав. В случае отказа Пользователя от получения прав (неполучение прав в указанный срок) настоящее Лицензионное соглашение считается не вступившим в силу.

Правила использования Программы
Пользователь имеет право использовать Программу на территории всех стран мира в соответствии с условиями настоящего Лицензионного соглашения (договора) при соблюдении следующих правил:
1. Запрещается производить декомпиляцию и/или модификацию Программы.
2. Запрещается сдавать Программу в аренду, прокат или во временное пользование.
3. Запрещается разделять Программу на составляющие части для использования их на разных компьютерах.
4. Запрещается использовать Программу с целью создания данных или кода вредоносных программ.
5. Запрещается использовать Программу в противоречии с законами Российской Федерации.

Пользователь имеет право
Использовать Программу для ознакомительных целей в течение 7 (тридцати) дней с момента ее первого запуска (инсталляции).
Изготовить копию Программы при условии, что эта копия предназначена только для архивных целей и для замены правомерно приобретенного дистрибутива в случаях, когда оригинал утерян, уничтожен или стал непригоден для использования. Указанная в настоящем пункте копия не может быть использована для иных целей и должна быть уничтожена в случае, если использование программы Пользователем перестанет быть правомерным.

Отказ от гарантий
Правообладатель не гарантирует работоспособность Программы при нарушении условий, описанных в Руководстве пользователя, а также в случае нарушения Пользователем условий настоящего лицензионного соглашения.
Пользователь сам несет риск соответствия Программы его желаниям и потребностям, а также риск соответствия условий и объема предоставляемых прав своим желаниям и потребностям.
Правообладатель и/или его партнеры не несут ответственность за какие-либо убытки или ущерб, не зависимо от причин их возникновения, (включая, но не ограничиваясь этим, особый, случайный или косвенный ущерб, убытки связанные с недополученной прибылью, прерыванием коммерческой или производственной деятельности, утратой деловой информации, небрежностью, или какие-либо иные убытки), возникшие вследствие использования или невозможности использования Программы.

Заключительные положения
Срок действия условий настоящей оферты с 20.06.2020 по 20.06.2030 г.
За нарушение авторских прав на Программу нарушитель несет гражданскую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Сайт программы: http://rusroute.ru
Поддержка пользователей: support@rusroute.ru

Demo key: RR-0001-Demo-6167-520B-434F-822D-F126

© 2007-2026 Моисеенко А.А., All rights reserved.


6. Описание диалоговых окон программы.


6.1. Окно "О программе".

Окно О программе RusRoute фаервол

В этом окне вы видите название продукта, его версию, авторские права, web-сайт программы, регистрационную информацию пользователя (имя, адрес e-mail, серийный номер), режим работы программы, количество активных пользователей и статус проверки серийного номера и кода активации.

С помощью двойного клика мыши или нажатия на F2 можно изменять регистрационную информацию пользователя.

По нажатию на правую кнопку мыши выпадает контекстное меню, в котором по шагам предлагается зарегистрировать программу. Регистрационную информацию нужно ввести сразу после установки программы или позже. В последствии эту информацию можно изменить. Также можно на время отложить действие по отправке запроса на активацию и по вводу активационного кода, например, это можно сделать после того, как после установки будет перезагружен компьютер и настроена минимальная конфигурация программы: списки, пользователи, правила.



6.2. Окно "Настройки".

В этом окне вы видите глобальные настройки программы, такие, как приоритет процесса, TCP оптимизация на уровне ядра, анти TCP флуд и анти SYN DDoS защит, алгоритм TCP предотвращения заторов по умолчанию (экспериментально, не используется), настройки Anti-SYN флуда, опции шейперов (не используются), блокировки сканирования TCP портов / анти флуд, специфические настройки VPN клиента,  также другие настройки. В этом окне также отображается, как и в заголовке, количество используемой памяти процесса службы RusRoute фаервол.

Включение TCP оптимизации на уровне ядра позволяет существенно уменьшить использование процессора программой за счёт того, что часть обработки пакетов установленных TCP соединений выносится в таком случае из пользовательского режима в режим ядра операционной системы. Также на уровне ядра хорошо работает анти TCP флуд защита, а анти TCP SYN защиту лучше использовать на пользовательском уровне, т.к. на уровне ядра не анализируются при этом фрагментированные пакеты и пакеты со сложными заголовками IPv6.

Использование строгих лимитов TCP шейперов позволяло ввести строгие ограничения скорости, в отличии от нестрогого режима, когда RusRoute пытался использовать для подшейперов всю заданную полосу корневых шейперов.

6.3. Группа окон "Информация о сети".


6.3.1. Сетевые адаптеры.

Здесь вы видите список сетевых адаптеров операционной системы, как присутствующих, так и неактивных и удалённых, с их характеристиками. К сетевым адаптерам относятся также записи телефонной книги.

Характеристики адаптеров - это такие параметры, как имя (пользовательское, из свойств сетевого окружения), Mac адрес, IP адрес, маска подсети, тип/статус, действительное имя, Mac адрес другой стороны (для соединений типа WAN), IP адрес сервера (для соединений типа WAN). WAN6 соединения ещё не поддерживаюся в версии 2.5.4.

В случае, если серийный ключ неверен или просрочен, или драйвер не установлен корректно, имя адаптера определяется с ошибкой, что не даёт возможности работать с ним в таком случае.

Список адаптеров можно обновить, например, если вы переименовали один из адаптеров.

6.3.2. Таблица маршрутизации.

Таблица маршрутизации

Стандартная для операционной системы таблица маршрутизации. Представлена в виде списка со следующими полями: IP адрес, маска, шлюз, интерфейс (имя адаптера, для локальной петли - "null nic"), метрика. Отображаются и IPv4, и IPv6 таблицы маршрутизации.

Эту информацию также, как и в предыдущем окне, можно обновить вручную, нажав кнопку "Обновить". Обычно это не нужно, т.к. операционные системы, начиная с Windows XP рассылают программам уведомления об изменении таблицы маршрутизации.

6.3.3. Таблицы Arp/Nd.

Таблицы Arp и Nd

В данном окне отображается таблица Arp (Address resolution protocol для IPv4) или, ещё она называется таблица MAC адресов, и ND (Neighbor Discovery для IPv6). В ней видны динамические и статические записи, сопоставляющие IP адресам MAC адреса сетевых карт. RusRoute ведёт свою собственную таблицу Arp/ND, совмещая её с таблицей Arp/ND Windows. Соответственно, в последних двух колонках списка в данном окне вы видите, находится запись в таблице RusRoute и/или Windows.

Для защиты от сетевых атак подмены IP адресов внутри локальной сети, можно добавить статические записи arp в таблицу. Это легко сделать, создав *.bat - файл с указанием строк вида
arp -s ...... и указанием запуска данного файла при загрузке Windows. Содержимое строк bat-файла можно скопировать в буфер обмена из данного окна путём нажатия правой кнопки мыши на соответствующей записи и выбора соответствующего пункта меню.
Более подробную информацио о команде arp смотрите в документации Windows и с помощью вызова команды arp /? из командной строки.

6.4. Группа окон "Списки".

Здесь представлены списки, использующиеся для задания правил работы фаервола. Каждый список можно сортировать по некоторым полям, нажав на кнопке заголовка списка.

6.4.1. Списки адаптеров.

Списки адаптеров
Здесь можно создавать и изменять списки адаптеров. Для этого используется правая кнопка мыши на существующих элементах и выпадающее контекстное меню.

6.4.2. Списки IP адресов.

Здесь можно создавать и изменять списки IP адресов. Для этого используется правая кнопка мыши на существующих элементах и выпадающее контекстное меню и диалог указания типа и значения элемента. Элементы каждого списка могут быть следующих типов:

• "IP фаервола" - любой из IP адресов фаервола,
• "IP адрес" - адрес, указанный вручную,
• "Подсеть" - подсеть, заданная IP адресом и маской,
• "Диапазон IP адресов" - диапазон IP адресов от начального до конечного (используется арифметическое сравнение),
• "Имя DNS" - доменное имя хоста, например, "maasoft.ru". Файервол работает напрямую с IP адресами, поэтому важно определить по доменному имени IP адрес(а) для работы. Если это не сделать сразу, убрав галочку напротив "Определить сразу", в таком случае определить IP адреса всех доменных имён можно, выбрав соответствующий пункт в контексном меню основного окна.
• "Исключить список" - IP адрес считается не соответствующим списку, если он присутствует в исключаемом списке.
• "Включить список" - дополняет список другим списком.
• "Широковещательный IP"
• "Файл со списком IP"
• Страна, определённая по базе Geo IP.
• API список для фильтров уровня приложений.

6.4.3. Список сетевых протоколов.

Список сетевых протоколов со следующими критериями: имя, IP протокол, (порт-)источник, (порт-)получатель, двунаправленный/однонаправленный/не направленный (для UDP и PING), фильтр, данные фильтра, широковещательный.

Реализованы фильтры протоколов FTP (оба активный и пассивный режимы), IRC, PING, HTTP, PPTP. Для HTTP можно указать параметры фильтра, такие, как кеширование.

6.4.4. Расписание.

Расписание

Здесь вы можете задавать списки времени, чтобы в дальнейшем указать их в параметрах правил. Соответствующее правило будет активным при установлении соединения только в указанный промежуток времени, а в другое время правило будет игнорироваться, но уже установленные соединения будут действовать.

6.5. DHCP серверы.

DHCP серверы

Здесь можно настроить DHCP серверы на каждом адаптере, чтобы не указывать IP адреса и другие сетевые параметры на каждом компьютере локальной сети.

Можно также указать прямое соответствие между конкретным MAC адресом сетевой карты и IP адресом, который ей назначить.

DHCPv6 сервер не стандартный, не позволяет работать с агентами DHCPv6, т.к. прямое соотвествие MAC <=> IPv6 использует MAC адрес DHCPv6 клиента из пакетов.

6.6. Мультикаст прокси.

Мультикаст прокси

RusRoute фаервол не может маршрутизировать мультикаст трафик, но в нём есть функция мультикаст прокси. В этом окне вы можете задать настройки ретранслятора мультикаст UDP пакетов.

6.7. FTP серверы.

Вы можете сконфигурировать работу нескольких FTP серверов на разных портах. У каждого FTP сервера может быть свой набор пользователей. Есть функция синхронизации списков пользователей между FTP серверами.

6.7.1. FTP соединения.

FTP соединения

Здесь отображаются все соединения FTP серверов.

6.8. Управление заторами TCP (устарело, не актуально для версии 2.x фаервола RusRoute).

Управление заторами TCP

В первых версиях Windows 10, в отличии от Windows XP/7, нельзя было отключить bind (связь) между протоколом и драйвером RusRoute для отдельно взятых сетевых карт, что не позволяло настроить управление заторами TCP. Также, конфигурация без замены управления заторами TCP более простая, и современные OC Windows заявляют, что используют хороший алгоритм TCP, поэтому данная настройка мало актуальна, давно не тестировалась, и с VirtualBox/VMWare RusRoute 2.5.4 имеет проблемы несовместимости. Ниже выдержка из старой документации.

HTTP кеш

Здесь можно настроить HTTP кеши с определёнными именами и размером, чтобы, например, не загружать для каждого компьютера заново одни и те же обновления Windows из Интеренета или содержимое страниц и картинок других серверов. Также в качестве ответа на запросы, удовлетворяющие указанным маскам, можно подменять ответы содержимым своих файлов (рекомендуется указывать заголовок HTTP/1.1 в начале ресурсного файла без полей "Connection: " и "Proxy-Connection: ", в таком заголовке в качестве параметров "Content-Length: ", "Last-Modified: ", "Date: ", "Content-Type: " можно указывать "%" для автоматического определения параметра, использовать макросы "{URL}", "{Base64Url}", "{HTTPDOMAIN}", "{HTTPURLPATH}", "{FirewallIp}" и некоторые другие. Если программа заголовок не найдёт, то она вставит свой заголокок, посчитая, что нужно передать указанный файл полностью как ответ "HTTP/1.1 200 OK") Также можно указать "пропустить", чтобы перейти к сравнению по маске в следующем кеше или "нет" - не кешировать данный запрос.

С кешем можно производить некоторые операции, такие, как "Добавить настраиваемые адреса URL", "Удалить незавершённые", "Очистить кеш". Статистическая информация по работе кеша отображается на экране.
Настройкой фильтруемых доменных имён и масок url можно ограничить доступ к нежелательным и вредоносным сайтам (подробнее смотрите 6.16. Правила - HTTP фильтрация)

6.10. Данные фильтров.

Данные фильтров

Здесь можно указать настраиваемые параметры фильтров с заданным именем, например, использование кешей HTTP и прозрачной конвертации HTTP соединений в HTTP прокси соединения (последнее работает только при использовании кешей, пусть даже с отключенной функцией кеширования).

6.11. Схемы биллинга.

   Схемы биллинга  Схема биллинга

Здесь можно создавать и редактировать различные схемы биллинга, т.е. правил, по которым изменяется баланс пользователя. Биллинг различается по дням, диапазонам дней, дням недели в пересечении с временным интервалом в эти дни.

Если задать стоимость мегабайта трафика, равную 1.000, то такая схема биллинга считает трафик в мегабайтах со знаком минус, если 1024.000 - то в килобайтах, если 1048576.000 - то в байтах.

Значения стоимости можно задавать отрицательными, в этом случае подсчёт трафика ведётся без минуса, но величина минимально допустимого баланса пользователя (при котором происходит его отключение) теряет смысл.

Редактирование записей биллинга немного неудобно, т.к. нужно не забывать нажимать кнопку "Применить" после внесения изменений.

6.12. Журналы.

         

При создании журнала вы указываете имя журнала, период записи информации на диск и схему биллинга.

Когда в журнале накопятся записи, можно генерировать отчёты за выбранный период времени по указанным пользователям, проявившим активность в этот период. Эти отчёты можно экспортировать в виде файлов Excel.

Т.к. только из конкретного правила следует, записывать данные о пакете в журнал, или нет, то возможны случаи, когда неизвестно, в какой журнал должна попадать эта информация (например, при появлении пакета, не относящегося ни к какому соединению). В таком случае информация о пакете записывается в журнал "Unknown", если такой есть.

6.13. Пользователи.

Пользователи

В основном окне списка учетных записей пользователей можно посмотреть краткую их характеристику, и в динамике наблюдать их активность (фон имени выделяется цветом), IP адрес(а), с которого пользователь осуществил вход в систему и текущий баланс.

Любого пользователя можно отключить (сделать за него выход из системы). Можно также отключить всех пользователей сразу и установить балансы макрокомандой (например, в начале каждого месяца).

6.13.1. Информация о пользователе.

Информация о пользователе

Основная информация о пользователе состоит из его имени и пароля, вводя которые он входит в систему. Вход в систему осуществляется через web-интерфейс на порт 10000 фаервола по протоколу http. Например, для входа с копьютера-фаервола можно использовать ссылку http://127.0.0.1:10000, а для входа с компьютеров локальной сети - http://192.168.100.1:10000 , если адрес фаервола 192.168.100.1. В последнем случае необходимо разрешить доступ с неавторизованных IP адресов пользователей на фаервол на порт 10000 TCP.

Для входа в систему RusRoute можно использовать специальное Win32-приложение RRClient.exe.

RRClient

В этом случае осуществляется защищённый вход в систему, раз в 2 минуты RRClient делает тестовый запрос на сервер для поддержания соединения, а в случае неактивности со стороны RRClient.exe в течении 5 минут (например, отсоединили сетевой кабель от клиентского компьютера) происходит отключение пользователя, работающего с данного IP адреса. Также со стороны сервера можно отправить текстовое сообщение пользователю на UDP порт 10007, которое отобразит RRClient.exe. RRClient необходимо настроить для работы с сервером. В новой записи указываются адрес сервера, порт (10000), шлюз (опционально, данный шлюз прописывается как шлюз по умолчанию с метрикой 20), стартовая страница (опционально), открывающаяся при успешном входе в систему. Первым делом нужно заргузить (обновить) ключи с сервера. Ключ берётся открытый, сгенерированный в окне "Роль VPN". RRClient по желанию сохраняет на диске имя пользователя и пароль для подключения к серверу RusRoute, кодируя данные на ключе, привязанном к серийному номеру системного раздела.

Дополнительная информация о пользователе - это его полное имя, идентификатор, признак "Отключен", признак "Автоматический вход в систему после перезапуска", фиксированный IP адрес(а), с которых пользователь работает, не вводя пароля, разрешённый IP адрес(а), с которых разрешён вход пользователей в систему через web-интерфейс, максимальное время простоя (в минутах), после которого происходит автоматический выход пользователя из системы, текущий баланс пользователя, минимальное значение баланса, при котором ещё разрешена работа пользователя, опция пакетной установки баланса с её значением, опция лимита одновременного количества TCP соединений, лимиты времени и комментарий.

Баланс пользователя можно увеличить или уменьшить на определённую величину, если указать её со знаком + или - и нажать кнопку "Добавить".

Минимальный допустимый баланс устанавливается путём ввода соответствующего значения и нажатия кнопки "Установить".

6.14. Шейперы (отключены в версии 3.0.2+).

Шейперы

   Расписания задач  Расписание задач

Расписание задач предназначено для запуска определённых действий в программе в определённое время (периодически, по расписанию).
На картинке 1 вы видите, как проверять обновления, в начале каждого месяца автоматически установить новые балансы пользователям, и каждые 5 минут записывать изменённые балансы в файл.

6.16. Правила фаервола.

Правила фаервола задаются, как прохождение первого пакета для TCP/двунаправленных UDP/ping соединений. Для однонаправленных UDP правила задаются как есть, по критериям данных пакета, для передачи в каждую сторону. Для других IP протоколов, например, GRE и IGMP, нужно задавать оба правила для прохождения пакетов в обе стороны. Без наличия отдельных правил для GRE, PPTP фильтр не функционален.

• именем
• списком для адаптера-источника
• одним или двумя списками для IP адреса-источника
• пользователем
• одним или двумя списками для адаптера-получателя
• списком для IP адреса-получателя
• протоколами (с возможным указанием шейпера для каждого протокола)
• временем
• журналом
• специальными опциями
• действием
• дополнительным комментарием.
• правило может быть типа сплиттер для преключения между альтернативами передачи пакетов по нескольким маршрутам.

Специальные опции - это

• возможность перенаправления на определённые IP адрес и порт (например, вы можете настраивать операционные системы клиентских компьютеров, чтобы они в качестве DNS сервера использовали IP адрес фаервола RusRoute, а на фаерволе создать правило, перенаправляющее DNS запросы пользователей на внешний DNS сервер провайдера),
• NAT - преобразование IP адресов - технология, позволяющая работать пользователям вашей локальной сети как будто от одного IP адреса, выделенного вам провайдером для работы в Интернете. Соответственно, правила, описывающие установку соединений из локальной сети в Интернет, как правило, должны иметь установленной такую опцию. Если вы используете NAT для локальной сети, то желательно использовать эту же технологию и для соединений с локального RusRoute фаервола в Интернет для избежания конфликтов с номерами портов. В данной версии NAT работает для протоколов TCP(FTP и т.д.), UDP и PING. Обычная маршрутизация работает также для этих протоколов плюс для протокола ICMP. Для других IP протоколов поступающие данные, если разрешено правилом, просто принимаются или передаются фаерволом.
• отправка (Xmit) через адаптер или шлюз - в случае использования нескольких маршрутов по умолчанию здесь можно выбрать адаптер или шлюз, через который пакеты отправляются во внешнюю сеть. Для изменения пути маршрута по умолчанию используйте Xmit с указанием адаптера и, опшионально, шлюза.
• сохранять адаптер-источник - вспомогательная опция, иногда нужна для того, чтобы знать, через какой адаптер отправлять ответные пакеты. В ряде случаев фаервол может игнорировать эту опцию.
• не дублировать широковещательные пакеты на VPN адаптер - отправлять только в канал VPN или отправлять только в мостовую сеть.
• ретранслятор широковещательных пакетов.
• Защита anti-SYN flood - блокировка атакующих входящих пакетов на установку соединений, параметры блокировки задаются в окне Настройки.
• лимит одновременного количества TCP соединений общий и в разрезе IP адресов (действует для всех правил, у которых имя совпадает с именем данного правила).
• пользователь на конечном IP - указывает на то, что идентификатор пользователя ищется на конечной точке получателя пакетов, а не отправителя. Полезно для серверов локальной сети, предоставляющих свои сервисы в Интернет, для исключения таймаутов активности пользователей.
• когда авторизован пользователь на конечном IP - правило активно, когда авторизован пользователь на конечном IP адресе.
• обратный NAT - для сервера, например, FTP, находящегося внутри локальной сети для доступа к нему из Интертена.
• счётчики - действуют в случае превышения счётчика срабатывния параметров правила за 1 секунду / Y секунд / 15 минут (для защиты портов). Если указать число/ip, то будут создаваться множество счётчиков по ключу не только имени правила, но и IP адреса в пакете.
• алгоритмы TCP для первичного соединения (с инициатором соединения) и для вторичного соединения (с конечным TCP сервером).

Сплиттер  Сплиттер для Ping1
Для создания сплиттера нужно сразу после правила ветвления создать сплиттер и требуемое число дополнительных правил-альтернатив ветвления (пример на рисунке) с такими же именами, что и первое правило. При первом совпадении с правилом ветвления выбирается первое правило, при втором - первое альтернативное и т.д. циклически.

HTTP фильтрация
В RusRoute существуют black фильтры для фильтрации нежелательных http доменов и адресов url по маске.

Поддерживаются, в том числе, списки блокировок Роскомнадзора.

Скачать чёрные списки можно, например, с сайта
http://rusroute.ru

распаковать в каталог (например, c:\rusroute\blacklists)

Добавить файлы в фильтры http кеша
HTTP кеш | black lists | Настраиваемые адреса URL | Импортировать файлы со списками доменов из выбранного каталога c:\rusroute\blacklists
и
HTTP кеш | black lists | Настраиваемые адреса URL | Импортировать файлы со списками URL из выбранного каталога c:\rusroute\blacklists

файлы из каталогов whitelist не добавлять

с действием
Подменить файл с заменой макросов
http\403-BlockedByFilter.txt
или создать свой файл-шаблон сообщения,

включить опцию Игнорировать директиву "no-cache",

задействовать этот вид кеша в первоочередном порядке в Данных фильтра HTTP (обычно, для фильтра с именем "Settings 1").

в этом случае RusRoute фильтрует http запросы

расход памяти при этом увеличивается в зависимости от размера списка

Подробнее о настройке блокировки по списку Роскомнадзора здесь.

Также путём перенаправления на локальный IP адрес (127.0.0.1), и порт, и конвертированием HTTP запросов пользователей локальной сети в HTTP прокси запросы, можно осуществить произвольную контекстную HTTP фильтрацию приложением пользователя.

HTTPS фильтрация не поддерживается.

6.16.1. Мастер-генератор правил фаервола.

Мастер-генератор правил позволяет по шагам ответить на вопросы о конфигурации для создания, обычно, первоначального набора правил фаервола.

6.17. VPN.

В этой группе вкладок представлены настройки, относящиеся к организации виртуальной частной сети (VPN - Virtual Private Network). RusRoute VPN - корпоративного класса.

6.17.1. Роль VPN.

Роль VPN

Здесь описываются основные настройки VPN:

Тип VPN:

• Отдельно стоящий маршрутизатор (без VPN) - функции VPN отключены.
• Первичный VPN сервер - RusRoute запускает на данном компьютере сервер на TCP порту 10005 и UDP сервер на порту 10005 для обслуживания VPN клиентов. Чтобы данный компьютер был виден в качестве VPN пользователя, укажите правильные имя пользователя и пароль ниже, а в качестве адреса сервера просто укажите 127.0.0.1 для обычного режима, или IP адрес, если на странице "Настройки" в разделе "VPN клиент" вы указали Локальный или Глобальный прямой приём между клиентами в "on".
  
• Вторичный VPN сервер - RusRoute устанавливает VPN соединение на первичный или другой вторичный VPN сервер, указанный ниже, с указанными параметрами именем пользователя и паролем, и запускает сервер на TCP порту 10005 и UDP серверы на портах 10005 (VPN сервер) и 10004 (VPN клиент) для подключения других пользователей через данный сервер (который называется вторичным) к основному серверу. Удобство применения вторичных серверов заключается в том, что связав виртуальной сетью два удалённых филиала, на дочернем запускают вторичный VPN сервер, который распределяет нагрузку на сеть VPN таким образом, что если два VPN пользователя, подключенных к одному и тому же вторичному VPN серверу, обмениваются сообщениями, то эти сообщения перенаправляются напрямую от одного клиента к другому через их вторичный сервер, минуя основной VPN сервер.
• VPN клиент - обычный VPN клиент, подключенный к первичному или вторичному VPN серверу, создаёт TCP соединение с VPN сервером и запускает UDP сервер на порту 10004 для приёма пакетов. UDP соединение не используется, если указана соответствующая опция в окне "Настройки" ("Использовать только TCP соединение для VPN"), что позволяет в некоторых случаях добиться большей совместимости, но с этой опцией VPN работает существенно медленее и управляющее VPN соединение может быть перегружено.

Сеть VPN (информация, получаемая VPN адаптером с помощью протокола DHCP):

• Виртуальный IP адрес VPN клиента
• Маска сети VPN.
• Шлюз - опционально, здесь можно указать виртуальный IP адрес какого-нибудь VPN клиента для использования его в качестве шлюза по умолчанию (например, для удалённого выхода в Интернет из другой удалённой сети). В этом случае, для корректного выхода в Интернет, возможно, вам потребуется настроить маршруты с помощью системной программы route.exe или с использованием специальных опций правил фаервола RusRoute (для VPN подключений). Смотрите также route /?

Другие настройки:

• VPN адаптер - выберите VPN адаптер из списка. VPN адаптер добавляется в систему при установке фаервола RusRoute.
• Адреса LAN для моста VPN - в случае, если в качестве VPN адаптера указан реальный, а не не виртуальный адаптер Ethernet, добавляемый в систему вместе с установкой программы, и сеть этого адаптера использует допустимые IP адреса (сеть 10.1.0.0, маска 255.255.0.0), то здесь можно указать диапазоны и списки IP адресов, которые будут доступны другим VPN клиентам и их сетям в виде объединения в некий аналог Ethernet моста. Например, здесь можно указать для одного VPN клиента 10.1.2.0-10.1.2.255,10.1.1.11, для другого - 10.1.3.0-10.1.3.255. В этом случае с IP адресов 10.1.2.0-10.1.2.255 и 10.1.1.11 можно обмениваться данными с адресами 10.1.3.0-10.1.3.255, а также с VPN клиентами как будто они подключены к одному и тому же Ethenet сегменту. Для указания особенности дублирования входящих широковещательных пакетов как на локальных компьютер VPN клиента, так и в присоединённую сеть, смотрите "Специальные" настройки правил.
• Имя пользователя - укажите имя пользователя для входа в виртуальную защищённую сеть. Только пользователи, у которых в свойствах их учётных записей на первичном VPN сервере разрешена работа в качестве VPN клиента или вторичного сервера, могут входить в VPN сеть.
• Пароль - пароль VPN пользователя.
• Сервер IP[:порт] - IP адрес или доменное имя сервера, через двоеточие допустимо указать TCP порт для подключения, если он отличается от значения по умолчанию - 10005. Для локального первичного VPN сервера рекомендуем указывать адрес 127.0.0.1.
• Сохранять пароль - сохранять пароль в конфигурационном файле (в слабо защищённом виде), иначе пароль запрашивается при подключении.
• Создать новые ключи сервера - создаются новые ключи (открытый и закрытый) для использования при авторизации пользователей и передачи временного ключа пользователя на сервер. Это нужно сделать как минимумум перед первым запуском первичного VPN сервера. В случае компрометации ключа остановить первичный VPN сервер (перевести его в состояние отдельно стоящего сервера (без VPN)), сгенерировать ключи, запустить снова VPN сервер. Для VPN клиентов генерировать ключи не нужно.
• Экспорт/импорт открытого ключа - может оказаться, наиболе безопасный способ передачи открытого ключа от сервера клиенту (если, конечно, вы доверяете курьеру или другому способу дальнейшей передачи ключа). Сверить ключи можно по отпечатку.
• Статус - статусная строка, отображающая ход подключения к серверу или прогресс генерации ключей.

Временные ключи пользователей VPN преобразования обновляются каждые 15 минут.

Основанный на протоколе UDP VPN устанавливает соединение на TCP порт 10005 (протокол "RusRoute VPN") для обмена ключами и др. служебной информацией, а передача пакетов осуществляется на UDP порт 10004 (клиент) или 10005 (серверы) (протокол "RusRoute VPN-UDP"). При этом в свойствах протокола "RusRoute VPN-UDP" нужно указывать "Двунаправленный", если используется NAT, и не указывать в противном случае для избежания конфликта работы хеша правил. Возможно, придётся использовать оба протокола, "Двунаправленный" и не "Двунаправленный" для соединений из(в) Интернета и из(в) LAN.

Основанный на протоколе TCP VPN устанавливает соединение только на TCP порт 10005 (протокол "RusRoute VPN") для обмена ключами, передачи пакетов и др. служебной информацией.

Скорость передачи по FTP через VPN составляет около 300 Мбит/с между двумя ПК класса I7-7700K с Windows 10 x64 22H2, версия RusRoute 3.3.9, драйвер v.3.38-220, в гигабитной локальной Ethernet сети.

6.17.2. VPN пользователи.

VPN пользователи

Здесь отображается список всех подключенных VPN пользователей и предлагаются наиболее типичные действия, которые можно с ними совершить, обращаясь по их IP адресам: ping, ftp, просмотр с помощью Internet Explorer'а и explorer'а, просмотр удалённого рабочего стола, копирование IP адреса, имени и DNS имени в буфер. В случае использования фильтра DNS для протокола DNS, к vpn пользователям можно обращаться по их псевдо-DNS имени типа name.vpn - на DNS запрос по такому имени ответить RusRoute сервер, подставив используемый IP адрес.

6.18. TCP соединения.

TCP соединения

Отображаются TCP соединения с их параметрами, такими, как протокол, адрес, порт, имя пользователя, скорость приёма/передачи на первичном(1) и вторичном(2) уровнях, размер переданных данных и имя правила.

Можно накладывать фильтры в данном окне, разрывать соединения и т.д.

6.19. UDP соединения.

UDP соединения

Отображаются соединения динамических правил UDP с их параметрами, такими, как протокол, адрес, порт, имя пользователя, количество пакетов, размер переданных данных и имя правила.

Можно накладывать фильтры в данном окне, разрывать соединения и т.д.

6.20. Заблокированные IP адреса.

Сохранение заблокированных IP адресов в файл

Отображаются заблокированные IP адреса, в том числе, заблокированные анти (D)DoS защитой. При работе анти DDoS защиты, происходит свёртка множества атакующих адресов в адреса 0.0.0.0 и ::0 для уменьшения обрабатывемых данных, а также, в адреса 0.0.0.1 и ::1 для анти SYN DDoS.

Есть возможность накладывать фильтры и сохранять списки адресов в файл в данном окне.

6.21. Запрещённые по API IP адреса.

Запрещённые по API IP - FTP

В RusRoute фаерволе присутсвует возможность путём обращения по специфичным URL, вести списки RusRoute и пользователя запрещённых IP адресов для фильтров уровня приложения. Например, после пяти обращений по адресу http://127.0.0.1:10000/api.cgi?api_key=KEY&cmd=IpListAddEx&n=13&ip=192.168.1.111 , IP 192.168.1.111 будет добавлен в 13-й список запрещённых адресов на 15 минут. А при обращении http://127.0.0.1:10000/api.cgi?api_key=KEY&cmd=IpListAdd&n=13&ip=192.168.1.111&to=60 , IP 192.168.1.111 будет добавлен в 13-й список запрещённых адресов на 1 минуту незамедлительно. Для некоторых протоколов, таких, как RusRoute http аутентификация, FTP, SMTP, POP3/IMAP, реализовано встроенное добавление запрещённых IP адресов в списки. Для других протоколов, а также для SSL вариантов протоколов, указанных выше, вам нужно разбирать логи ваших серверов специализированной утилитой, и при появлении ошибок аутентификации вызывать функцию API списков (для блокировки новых соединений с IP злоумышленника после пятой попытки подобрать пароль).

Присутствуют функции визуализации списков, возможности удаления адреса из списка, сохранения списка в файл, очистка списка и другие.

6.22. Протоколы.

Наиболее необходимые и интересные записи о процессах, происходящих в сети и внутри фаервола RusRoute.

6.22.1. Протокол http.

HTTP протокол

Отображает параметры запросов http-протокола (действует только для тех протоколов, для которых указан тип фильтра HTTP) с результатами использования кеширования.

Может оказаться удобным инструментом для web-мастеров, т.к. позволяет увидеть все обращения - запросы к сайту, статусы ответов, скопировать URL и т.д.

6.22.2. Протокол ftp.

FTP протокол

Отображает некоторые команды и их параметры ftp-протокола (действует только для тех протоколов, для которых указан тип фильтра FTP).

6.23.3. Протокол dns.

DNS протокол

Отображает информацию о запросах и ответах dns-протокола (действует только для тех протоколов, для которых указан тип фильтра DNS).

6.22.4. Протокол работы (общий протокол).

Общий протокол  Общий протокол - 2

Наиболее полный протокол работы фаервола.

Сообщения отображаются, в основном, на английском языке.
Например, сообщение "Reject ... connection ... by rule: Default blocking rule, protocol: Unknown" означает, что в ваших правилах фаервола не нашлось правила при просмотре от первого правила к последнему, удовлетворяющему данному соединению, в результате чего данный пакет/соединение были заблокированы.

7. Web API.

Некоторые параметры программы можно задавать путём http запросов на встроенный web-сервер, работающий на порту 10000. Для доступа к этим функциям API используется ключ, указываемый на странице “Настройки”.

Список функций API версии RusRoute 2.5.6:

/api.cgi?api_key=...&cmd=userid
/api.cgi?api_key=...&cmd=username
/api.cgi?api_key=...&cmd=username&userid=N
/api.cgi?api_key=...&cmd=getbalance
/api.cgi?api_key=...&cmd=addbalance&userid=N&amount=0.00
/api.cgi?api_key=...&cmd=addsettimelimit&userid=N&amount=60
/api.cgi?api_key=...&cmd=addsettimelimit&userid=N&set=120
/api.cgi?api_key=...&cmd=IpListAdd&n=N&ip=IP&to=-1|0|S
/api.cgi?api_key=...&cmd=IpListAddEx&n=N&ip=IP

Командой IpListAddEx можно формировать до 20 списков IPv4/IPv6 адресов от n=0 до n=19 с заданным временем действия (таймаутом) в секундах (-1 - без ограничения по времени, 0 - удалить запись). Далее этот список может быть использован в списках IP адресов для правил, чтобы, например, динамически блокировать нежелательные адреса. Адреса для списков можно брать, например, из разбора логов программ или журналов приложений Windows по аналогии с работой утилиты fail2ban в Linux. Для упрощения работы такой сторонней программы, если требуется вводить блокировку после 5-и попыток вторжений за последние 15 минут, можно использовать команду IpListAddEx, которая для этих же списков добавляет IP адрес в список n с таймаутом 15 минут. IpListAdd/IpListAddEx игнорируют IP адреса, указанные на странице "Специальных настроек" в настройке "IP адреса игнорирования бана для списков API", IP адреса указываются в настройке через пробел, слово "self" и пустая строка зарезервированы для адресов 127.0.0.1, ::1 и всех адресов сетевых карт RusRoute фаервол. В 0-ой список через функцию IpListAddEx RusRoute фаервол автоматически добавляет IP адреса с неправильными паролями авторизации к встроенному http web серверу и ключа api, 1-й - FTP Auth, 2-й - SMTP Auth, 3-й - POP3, IMAP4 Auth. Бан может добавляться только для открытых протоколов. Если протокол защищаемого вами почтового сервера переходит в SSL режим, то для добавления бан IP требуется специальное приложение, анализирующее SMTP/SMTPS/POP3/POP3S/IMAP4/IMAPS логи вашего сервера и добавляющие IP в список API адресов RusRoute для возможности блокировки.

Правила запрета IP адресов

Устанавливать Ban в специальных настройках правил  Номер списка заблокированных IP

Текущий список команд API: http://127.0.0.1:10000/api.cgi

8. Техническая поддержка программы.

Техническая поддержка программы осуществляется по e-mail: support@rusroute.ru, а также на форуме.