информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
В таком случае результат route print с рядового компа и шлюза в студию 21.02.07 08:11  Число просмотров: 3486
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
<beginners>
пропала маршрутизация. 20.02.07 15:36  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
на небольшом предприятии есть следующая сеть:
интернет ------ сервер (win2k3 + kerio winroute fw) ----локальнаа сеть (реальные IP).

внезапно (в смысле что вроде никто ничего не делал :) пропала маршрутизация из локальной сети в интернет и из интернета в локальную сеть. трейс доходит до сервера и там обрывается. c самого сервера видно как локальную сеть, так и интернет.
если в керио включить НАТ - то через нат работает. я так понимаю какие-то проблемы с маршрутизацией ? может кто сталкивался с подобным ?
проблема решилась. всем спасибо. 24.02.07 13:55  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
проблема решилась. всем спасибо.
оказалось проблема была на стороне провайдера. сел рядом с админом провайдера, проверили все и нашли ошибку. как обычно, во всем виноват клиент, а мы нет ....
Дык именно НАТ и обеспечивает маршрутизацию из ЛВС в инет. 20.02.07 16:59  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 20.02.07 17:13  Количество правок: 1
<"чистая" ссылка>
> на небольшом предприятии есть следующая сеть:
> интернет ------ сервер (win2k3 + kerio winroute fw)
> ----локальнаа сеть (реальные IP).

Что значит "реальные IP"? Розданные вручную, а не через DHCP???

> если в керио включить НАТ - то через нат работает. я так
> понимаю какие-то проблемы с маршрутизацией ? может кто
> сталкивался с подобным ?

Оставь НАТ включенным для тех служб, которые нужно именно НАТить, например POP3, SMTP (если в сети нет почт.сервера), ICMP, VPN и т.п. Пользователи могут юзать инет через прокси.
"реальный IP" это IP адрес выданый RIPE NCC 21.02.07 08:06  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Что значит "реальные IP"? Розданные вручную, а не через
> DHCP???
"реальный IP" это IP адрес выданый RIPE NCC
>
> > если в керио включить НАТ - то через нат работает. я
> так
> > понимаю какие-то проблемы с маршрутизацией ? может кто
> > сталкивался с подобным ?
>
> Оставь НАТ включенным для тех служб, которые нужно именно
> НАТить, например POP3, SMTP (если в сети нет почт.сервера),
> ICMP, VPN и т.п. Пользователи могут юзать инет через
> прокси.
нет, нат не пойдет, каждый компьютер из локальной сети должен выходить в интернет со своим собственным IP, а сервер выполнять функцию маршрутизации. вот эта самая маршрутизация и издохла по необъяснимым причинам. а при нате получается что все компьютеры видятся под одним IP.
Не знаю зачем нужно, чтоб снаружи каждый комп виделся под... 21.02.07 10:56  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.02.07 11:00  Количество правок: 1
<"чистая" ссылка>
> нет, нат не пойдет, каждый компьютер из локальной сети
> должен выходить в интернет со своим собственным IP, а
> сервер выполнять функцию маршрутизации. вот эта самая
> маршрутизация и издохла по необъяснимым причинам. а при
> нате получается что все компьютеры видятся под одним IP.

Не знаю зачем нужно, чтоб снаружи каждый комп виделся под своим адресом. Совсем не сложно сделать, чтоб стукнувшись по определенному адресу можно было попасть на определенный комп.

Но здест рулит именно НАТ. По простому принципу - если имеем физически два сегмента, то и адреса должны быть разные! Чтоб все работало как хочется, адреса придется транслировать, причем как раз именно НАТом!
Идем в закладку "Address Pool", создаем пул на 16 адресов и приписываем компам реальные адреса в резервации.
Сам не пробовал, но кроме того, что по каждому реальному АйПи можно будет попасть на соответствующий комп, полагаю, что НАТ реализован достаточно правильным образом, исходящие пакеты будут тоже транслироваться как исходящий с соответсвующих внешних адресов исходя из правил резервации.
Все маршруты создаются и так правильно. Крайне редко надо что-то руками править.
хитрый софт работающий только с опред IP адреса. 21.02.07 12:54  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > нет, нат не пойдет, каждый компьютер из локальной сети
> > должен выходить в интернет со своим собственным IP, а
> > сервер выполнять функцию маршрутизации. вот эта самая
> > маршрутизация и издохла по необъяснимым причинам. а
> при
> > нате получается что все компьютеры видятся под одним
> IP.
>
> Не знаю зачем нужно, чтоб снаружи каждый комп виделся под
> своим адресом.
хитрый софт работающий только с опред IP адреса.
> Совсем не сложно сделать, чтоб стукнувшись
> по определенному адресу можно было попасть на определенный
> комп.
нужно чтоб каждый комп из инета виделся под своим IP, а не под IP шлюза
> Но здест рулит именно НАТ. По простому принципу - если
> имеем физически два сегмента, то и адреса должны быть
> разные!
тк и есть разные подсети
>Чтоб все работало как хочется, адреса придется
> транслировать, причем как раз именно НАТом!
> Идем в закладку "Address Pool", создаем пул на 16 адресов и
хм ... а поподробнее, это где ?
RRAS => IP Routing => NAT 22.02.07 13:11  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> > Идем в закладку "Address Pool", создаем пул на 16
> адресов и
> хм ... а поподробнее, это где ?

RRAS => IP Routing => NAT
[Internet connection] => Properties
вторая закладка = "Address Pool"
:)) То-то я удивился... [upd2] 21.02.07 18:53  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 22.02.07 13:22  Количество правок: 4
<"чистая" ссылка>
Так тогда и Kerio там, по большому счету, не нужен.
Достаточно было:
1. На шлюзе включить "RRAS"
2. На шлюзе прописать маршрут по умолчанию к следующему инет шлюзу и с помощью "route add -p ..." прописать маршрут для своей инет подсети.
3. На станциях прописать свой шлюз шлюзом по умолчанию.
И все
Ну а если хочется немного "прикрыться", то использовать в качестве брандмауэра такой многофункциональный продукт, как Kerio WinRoute Firewall совсем не обязательно. Для этих целей вполне подошел бы wipfw весом около 70Кб.

P.S. Также можно попробовать включить маршрутизацию (без KWF) через реестр не включая RRAS. (см. по ссылке IPEnableRouter)

TCP/IP and NetBT configuration parameters for Windows 2000 or Windows NT
в принципе да. но у KWF достаточно удобный интерфейс +... 22.02.07 08:13  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Так тогда и Kerio там, по большому счету, не нужен.
в принципе да. но у KWF достаточно удобный интерфейс + правила + прокси + статистика траффика и вообще всем устраивал до сего момента ...
Посмотри настройки в... 22.02.07 13:34  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Kerio WinRoute Firewall -> Configuration -> Routing Table
и Traffic Policy
Мож там что слетело... Попробуй локализовать проблему через логи.
А вот NAT тебе, по большому счету, не нужен.
В таком случае результат route print с рядового компа и шлюза в студию 21.02.07 08:11  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
шлюз: 21.02.07 09:42  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
шлюз:
213.210.82.100 - смотрит в интернет
62.68.140.70 - в локалку
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 213.210.82.1 213.210.82.100 20
62.68.140.64 255.255.255.240 62.68.140.70 62.68.140.70 20
62.68.140.70 255.255.255.255 127.0.0.1 127.0.0.1 20
62.255.255.255 255.255.255.255 62.68.140.70 62.68.140.70 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
213.210.82.0 255.255.255.0 213.210.82.100 213.210.82.100 20
213.210.82.100 255.255.255.255 127.0.0.1 127.0.0.1 20
213.210.82.255 255.255.255.255 213.210.82.100 213.210.82.100 20
224.0.0.0 240.0.0.0 62.68.140.70 62.68.140.70 20
224.0.0.0 240.0.0.0 213.210.82.100 213.210.82.100 20
255.255.255.255 255.255.255.255 62.68.140.70 62.68.140.70 1
255.255.255.255 255.255.255.255 213.210.82.100 213.210.82.100 1
Default Gateway: 213.210.82.1

один из компов:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 62.68.140.70 62.68.140.65 20
62.68.140.64 255.255.255.240 62.68.140.65 62.68.140.65 20
62.68.140.65 255.255.255.255 127.0.0.1 127.0.0.1 20
62.255.255.255 255.255.255.255 62.68.140.65 62.68.140.65 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 62.68.140.65 62.68.140.65 20
255.255.255.255 255.255.255.255 62.68.140.65 62.68.140.65 1
Основной шлюз: 62.68.140.70

вот так.
Всё вроде правильно, скорее всего файрвол на 70 что-то... 21.02.07 23:07  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Всё вроде правильно, скорее всего файрвол на 70 что-то куда-то не пускает. Попробовать в kerio включить лог на все запрещающие правила, сделать трейс куда-нить и посмотреть что в лог падает.
делал так. 22.02.07 08:11  
Автор: raman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Всё вроде правильно, скорее всего файрвол на 70 что-то
> куда-то не пускает. Попробовать в kerio включить лог на
> все запрещающие правила, сделать трейс куда-нить и
> посмотреть что в лог падает.
делал так.
делал правило any any any
KWF - далает вид что все пришло ушло. а в реале тишина. похоже что где-то что-то отсохло. вопрос где и как починить.
В общем недавно столкнулся с ситуацией: локалка, керио... 22.02.07 21:46  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> делал правило any any any
> KWF - далает вид что все пришло ушло. а в реале тишина.
> похоже что где-то что-то отсохло. вопрос где и как
> починить.
В общем недавно столкнулся с ситуацией: локалка, керио выпускает всех через NAT, winXP, в нет смотрит через VPN подключение. Когда поставили керио, периодически отваливалась его звонилка: рубились все входящие GRE пакеты и чё-то ещё куда-то ещё не ходило (с правилом allow any any any на первом месте). kerio 6.2.3-2027, леченый вроде тоже правильно. Никто ничего не делал (???), через дня 2 прошло само собой. Дальше включили как-то касперыча раньше керио, и он радостно поставил защиту от сетевых атак. После чего всё опять сломалось. Отрубили касперычу сетевой модуль - всё живёт по сей день. К сожаленью более детально не могу ничего сказать, так как был в этой канторе раза 3 всего.
Так вот к чему это: не первый раз слышу, что керио начинает плющить, если в системе есть перехватчик пакетов. Может в эту сторону покопать?
Офф/2 Колотые продукты Керио временами вообще себя прикольно ведут. 23.02.07 11:39  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Как-то неделю угробил на Керио Мэйл Сервер, пытаясь убедить его создать новые почтовые ящики кроме того десятка, что были созданы раньше. Они создавались, но роутиться на них ничего не роутилось. Прибил в итоге КМС и поставил МДемона.
Ну фиг знает... 22.02.07 13:42  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Попробуй посмотреть еще настройку "Bandwidth limiter" и "P2P Eliminator" (последний в Advanced Options), мож какие-то порты, по которым работает ваш софт, попадают в диапазон P2P и успешно блокируются.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach