Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2004.04.11;
Скачать: [xml.tar.bz2];

Вниз

NAT + personal firewall = trounle   Найти похожие ветки 

 
Ihor Osov'yak ©   (2004-03-19 12:23) [0]

Это немного не моя область, так что нуждаюсь в совете...
Сори, что немного не по теме D..

Ситуация. Простершая сеть. Всего 2 машины. Машина с w2k проф (устанавливать сервер не предлагать, ) одной карточкой смотрит в инет.. другой карточной - соединена с другой машиной. Обе машины должны иметь реальные ай-пи...

Для поддержки NAT на первой машине  установлен пока триальный iNet Shaper (не уверен, что это окончательный выбор, так как бы хотелось фришного, это первое, что подвернулось под руку)..

В общем, все работает, как нужно..
Проблемы начинаются при установке фаервола персонального на первой машине.. Нужен именно персональный, чтобы следить за активностью определенных приложений (или делать напезку прав на уровне приложений)..
В качестве фаервола пробовал и Оутпост Про и Керио Персонал..
Так вот, такое впечатление, что они режут транзитные пакеты (те, что инет <-> вторая машина). Причем режут странно - пинги ходят по всему свету, трассировка тоже  на ура.. А вот http - глухо..
Причем, если оутпост что-то в лог пишет на тему блокировки транзитных пакетов (где эту блокировку отменить - в настройках не видно), то керио вообще хранит молчание с этого повода... Да, в  оутпостовских конференциях эта тема несколько раз подымалась - вывод - или глюк, или сознательный маркетинг, так как для NAT нужно покупать серверный вариант.. Но люди, я не пойму, зачем покупать серверное решение для сетки с двух машин? (это не вопрос, это эмоции)..

А теперь собственно вопрос - какое решение можете посоветовать для моей ситуации (обе машины с реальным ай-пи, карта доступа к инет стоит только на одной машине, необходимость использовать персонал фаервол)... Мне кажется, нужно неконфликтную пару какой-то утилиты, поддерживающей NAT на wks и персолал фаервол.. Может кто посоветует такую пару?


 
Ihor Osov'yak ©   (2004-03-19 12:27) [1]

может и не NAT, а роунтинг... в общем, я пока в этих вещах плаваю, так что сорри за путаницу в терминологии..


 
Reindeer Moss Eater ©   (2004-03-19 12:42) [2]

Если на обеих машинах реальные IP то зачем нафик нат?
Нафик нат не нужен.


 
Reindeer Moss Eater ©   (2004-03-19 12:50) [3]

Если оба IP из одной сети, то "интернет" включаем в аплинк хаба, а оба хоста (с одной сетевой картой у каждого) - в хаб.

Если оба IP из разных сетей - то просто требуется маршрутизация между двумя интерфейсами первого хоста и хаба не требуется


 
Anatoly Podgoretsky ©   (2004-03-19 12:55) [4]

Приведи информацию об всех ИП на всех машинах


 
Ihor Osov'yak ©   (2004-03-19 13:42) [5]

да, насчет Nat, я похоже ерунду сморозил.. в этой сфере я почти нулевой..
Но после сноса нат проблема все же осталась - при включении фаервол работа по http со второй машины блокируется...

2 Anatoly Podgoretsky

Вторая машина  (XP)
ip - 217.196.169.211
mask 255.255.255.240
шлюз 217.196.169.210  

соеденена с первой витой парой перехлестнутой, без хаба..
первая сетевая
сетевая, включенная на вторую машину
217.196.169.210
255.255.255.240
шлюз не указан

вторая сетевая
217.196.164.97
255.255.255.252
217.196.164.98 <- аксес поинт в провайдера

результат траccировки со второй машины:

 1     *        *        *     Превышен интервал ожидания для запроса.
 2   546 ms   430 ms   660 ms  217.196.164.98
 3   426 ms     *        *     172.16.100.230
 4     *       84 ms    39 ms  ale-e0-100M-corenet-gw.bit.te.ua [217.196.160.46]
 5    24 ms    90 ms   100 ms  fa0-789.cr18-te.x-telecom.net [80.70.78.97]
 6   174 ms   220 ms   130 ms  se2-3.lsr3-ki.x-telecom.net [80.70.65.221]
 7   104 ms   129 ms    49 ms  213.179.224.61
 8   253 ms   119 ms   250 ms  195.5.5.254
 9   292 ms   129 ms    90 ms  213.248.69.65
10     *      160 ms    89 ms  213.248.64.45
11   238 ms   160 ms   129 ms  213.248.65.145
12   167 ms   109 ms    89 ms  213.248.65.26
13   656 ms     *       95 ms  213.248.66.6
14   424 ms   420 ms   450 ms  194.17.1.38
15   422 ms     *      572 ms  194.126.97.246
16   470 ms   380 ms   410 ms  194.126.115.82
17  1410 ms   831 ms   760 ms  80.235.127.5
18   628 ms   560 ms   580 ms  80.235.127.18
19   619 ms   659 ms   669 ms  213.35.134.99

Почему таймаут для 217.196.164.97 - наверно что-то в настройках фаервола, пинимруется нормально, сносить фаервол или разбираться сейчас с этим - лучше потом.. Стоит сейчас керио персонал - я его уже ловил на том, что он не всегда адекватно реагирует на изменение настройки (не исключено - я сделал неверные выводы).. Радикальный метод - снести.. Я уже делал несколько раз..
Сейчас проблема в том, что при включении NetWork Security module режется http. Трассировка сделана как раз для этого случая, когда NetWork Security module включен, http резется.. Аналогичная картина наблюдалась и при оутпост... Но тогда еще стояд nat в лице iNet Shaper// Но он, кажется, к этому отношения не имеет..


 
wnew   (2004-03-19 16:38) [6]

С OutPost у меня была таже проблема. Первый комп имеет подключение к сети интернет, а второй выходит в сеть интернет через первый. Поставил ZoneAllarm, прописал IP второго компа 192.168.0.2 в уверенную зону файервола и всё - работает безупречно.


 
ISP ©   (2004-03-19 16:44) [7]

По поводу Firewall: очень понравился Sygate Personal. Попробуй. Настройки гибкие, можно идеально вывести сетку. И лог удобный.
А с твоей темой надо лог firewalla смотреть.


 
Reindeer Moss Eater ©   (2004-03-19 17:00) [8]

FW здесь не причем.
Здесь просто недопустимая топология.


 
Ihor Osov'yak ©   (2004-03-19 18:01) [9]

2 wnew   (19.03.04 16:38) [6]

Мне нужен ай-пи на второй машине "реальный", а не с диапазона "локальных"

2 ISP ©   (19.03.04 16:44) [7]
> А с твоей темой надо лог firewalla смотреть.
А тоже был-бы счастлив, если бы керио что-то в лог написал.. Оутпост писал о блокировке "транзитных" пакетов - я уже это упоминал.
За упоминание Sygate Personal - спасибо, попробую..

2 Reindeer Moss Eater ©   (19.03.04 17:00) [8]

>Здесь просто недопустимая топология.

Может и недопустимая,  но без FW (или деактивации последнего) - работает. Если можно, более подробно, в чем здесь недопустимость..


 
NeyroSpace ©   (2004-03-19 18:08) [10]

ZoneAlarm однозначно!
как файр вол он железобетонный, последняя версия отлавливает не только обращение прог к сет. интерф., но и их помпонентов (например самой проге доступ разрешается, а ее DLL нет)
у него есть несколько недостатоков - он в отличии от керио не показывает состояния соединений и скорость передачи (хотя это решается фриварным TCPVIEW) и имеет немного запутанный интерфейс.

С керио 4.х что-то явно не в порядке. Фильтр пакетов работает, а слежка за приложениями отвратительная.


 
wnew   (2004-03-19 18:17) [11]


> Ihor Osov"yak ©   (19.03.04 18:01) [9]
> Мне нужен ай-пи на второй машине "реальный", а не с диапазона
> "локальных"

Не понимаю - что значит реальный IP? Второй комп, как я понимаю, находится в локальной сети и должен иметь выход в интернет через эту самую локальную сеть, именно поэтому и нужно прописывать в настройках файервола адрес второго компа в локальной сети. Можешь посмотреть - при включенном файерволе у тебя даже между компами нет связи не говоря уже о выходе в и-нет со второго компа.


 
Ihor Osov'yak ©   (2004-03-19 18:57) [12]

2 wnew   [11]
> что значит реальный IP
ip, не из диапазона диапазона локальных(частных) сетей. Соответствующим образом зарегистрированый.
192.168.0.2  как раз из этого диапазона локальных..

>  при включенном файерволе у тебя даже между компами нет связи не говоря уже о выходе в и-нет со второго компа.

Странно, я что-то этого не заметил..


 
Ihor Osov'yak ©   (2004-03-19 19:01) [13]

а с привода моего ляпсуса о NAT - взял в руки Олифера и Остерлох , начал читать.. Купил несколько месяцев назад, все руки не доходили..  Лучше поздно, чем никогда :-(


 
wnew   (2004-03-19 19:12) [14]

Если на первой машине W2k или XP - попробуй установить мост между сетевыми картами, наружной и локальной.


 
wnew   (2004-03-19 19:13) [15]

Хотя нет, без файервола работает.


 
Ihor Osov'yak ©   (2004-03-19 20:50) [16]

Вопрос снят с постановкой ZoneAlarmPro.. Пока триальная, там посмотрим...

Спасибо всем откликнувшимся..


 
wnew ©   (2004-03-19 20:56) [17]


> Ihor Osov"yak ©   (19.03.04 20:50) [16]

Дай свой E-Mail и станет не триальная:)


 
Ihor Osov'yak ©   (2004-03-19 21:15) [18]

2 wnew ©   (19.03.04 20:56) [17]

Да лад, спасибо.. Если вещь стоящая, денег не жалко, тем более там, кажется, деньги небольшие..


 
Ihor Osov'yak ©   (2004-03-19 21:15) [19]

2 wnew ©   (19.03.04 20:56) [17]

Да лад, спасибо.. Если вещь стоящая, денег не жалко, тем более там, кажется, деньги небольшие..



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.04.11;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.51 MB
Время: 0.055 c
1-1080215024
Кипяток
2004-03-25 14:43
2004.04.11
Вопрос по TThread


1-1082468987
NeyroSpace
2004-04-20 17:49
2004.04.11
TJvxRichEdit/TRxRichEdit как в них вставить анимированный GIF?


3-1081425872
Rule
2004-04-08 16:04
2004.04.11
Есть в IBDataSete свойстов фильтеред, я им не пользовался со врем


1-1080159329
GetIt
2004-03-24 23:15
2004.04.11
Заставить кнопку закрыть форму-владельца


6-1078666286
Gym
2004-03-07 16:31
2004.04.11
TIdTCPServer + несколько клиентов.





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский