NAT + personal firewall = trounle

← →
Ihor Osov'yak © (2004-03-19 12:23) [0]

Это немного не моя область, так что нуждаюсь в совете...
Сори, что немного не по теме D..

Ситуация. Простершая сеть. Всего 2 машины. Машина с w2k проф (устанавливать сервер не предлагать, ) одной карточкой смотрит в инет.. другой карточной - соединена с другой машиной. Обе машины должны иметь реальные ай-пи...

Для поддержки NAT на первой машине установлен пока триальный iNet Shaper (не уверен, что это окончательный выбор, так как бы хотелось фришного, это первое, что подвернулось под руку)..

В общем, все работает, как нужно..
Проблемы начинаются при установке фаервола персонального на первой машине.. Нужен именно персональный, чтобы следить за активностью определенных приложений (или делать напезку прав на уровне приложений)..
В качестве фаервола пробовал и Оутпост Про и Керио Персонал..
Так вот, такое впечатление, что они режут транзитные пакеты (те, что инет <-> вторая машина). Причем режут странно - пинги ходят по всему свету, трассировка тоже на ура.. А вот http - глухо..
Причем, если оутпост что-то в лог пишет на тему блокировки транзитных пакетов (где эту блокировку отменить - в настройках не видно), то керио вообще хранит молчание с этого повода... Да, в оутпостовских конференциях эта тема несколько раз подымалась - вывод - или глюк, или сознательный маркетинг, так как для NAT нужно покупать серверный вариант.. Но люди, я не пойму, зачем покупать серверное решение для сетки с двух машин? (это не вопрос, это эмоции)..

А теперь собственно вопрос - какое решение можете посоветовать для моей ситуации (обе машины с реальным ай-пи, карта доступа к инет стоит только на одной машине, необходимость использовать персонал фаервол)... Мне кажется, нужно неконфликтную пару какой-то утилиты, поддерживающей NAT на wks и персолал фаервол.. Может кто посоветует такую пару?

← →
Ihor Osov'yak © (2004-03-19 12:27) [1]

может и не NAT, а роунтинг... в общем, я пока в этих вещах плаваю, так что сорри за путаницу в терминологии..

← →
Reindeer Moss Eater © (2004-03-19 12:42) [2]

Если на обеих машинах реальные IP то зачем нафик нат?
Нафик нат не нужен.

← →
Reindeer Moss Eater © (2004-03-19 12:50) [3]

Если оба IP из одной сети, то "интернет" включаем в аплинк хаба, а оба хоста (с одной сетевой картой у каждого) - в хаб.

Если оба IP из разных сетей - то просто требуется маршрутизация между двумя интерфейсами первого хоста и хаба не требуется

← →
Anatoly Podgoretsky © (2004-03-19 12:55) [4]

Приведи информацию об всех ИП на всех машинах

← →
Ihor Osov'yak © (2004-03-19 13:42) [5]

да, насчет Nat, я похоже ерунду сморозил.. в этой сфере я почти нулевой..
Но после сноса нат проблема все же осталась - при включении фаервол работа по http со второй машины блокируется...

2 Anatoly Podgoretsky

Вторая машина (XP)
ip - 217.196.169.211
mask 255.255.255.240
шлюз 217.196.169.210

соеденена с первой витой парой перехлестнутой, без хаба..
первая сетевая
сетевая, включенная на вторую машину
217.196.169.210
255.255.255.240
шлюз не указан

вторая сетевая
217.196.164.97
255.255.255.252
217.196.164.98 <- аксес поинт в провайдера

результат траccировки со второй машины:

1 * * * Превышен интервал ожидания для запроса.
2 546 ms 430 ms 660 ms 217.196.164.98
3 426 ms * * 172.16.100.230
4 * 84 ms 39 ms ale-e0-100M-corenet-gw.bit.te.ua [217.196.160.46]
5 24 ms 90 ms 100 ms fa0-789.cr18-te.x-telecom.net [80.70.78.97]
6 174 ms 220 ms 130 ms se2-3.lsr3-ki.x-telecom.net [80.70.65.221]
7 104 ms 129 ms 49 ms 213.179.224.61
8 253 ms 119 ms 250 ms 195.5.5.254
9 292 ms 129 ms 90 ms 213.248.69.65
10 * 160 ms 89 ms 213.248.64.45
11 238 ms 160 ms 129 ms 213.248.65.145
12 167 ms 109 ms 89 ms 213.248.65.26
13 656 ms * 95 ms 213.248.66.6
14 424 ms 420 ms 450 ms 194.17.1.38
15 422 ms * 572 ms 194.126.97.246
16 470 ms 380 ms 410 ms 194.126.115.82
17 1410 ms 831 ms 760 ms 80.235.127.5
18 628 ms 560 ms 580 ms 80.235.127.18
19 619 ms 659 ms 669 ms 213.35.134.99

Почему таймаут для 217.196.164.97 - наверно что-то в настройках фаервола, пинимруется нормально, сносить фаервол или разбираться сейчас с этим - лучше потом.. Стоит сейчас керио персонал - я его уже ловил на том, что он не всегда адекватно реагирует на изменение настройки (не исключено - я сделал неверные выводы).. Радикальный метод - снести.. Я уже делал несколько раз..
Сейчас проблема в том, что при включении NetWork Security module режется http. Трассировка сделана как раз для этого случая, когда NetWork Security module включен, http резется.. Аналогичная картина наблюдалась и при оутпост... Но тогда еще стояд nat в лице iNet Shaper// Но он, кажется, к этому отношения не имеет..

← →
wnew (2004-03-19 16:38) [6]

С OutPost у меня была таже проблема. Первый комп имеет подключение к сети интернет, а второй выходит в сеть интернет через первый. Поставил ZoneAllarm, прописал IP второго компа 192.168.0.2 в уверенную зону файервола и всё - работает безупречно.

← →
ISP © (2004-03-19 16:44) [7]

По поводу Firewall: очень понравился Sygate Personal. Попробуй. Настройки гибкие, можно идеально вывести сетку. И лог удобный.
А с твоей темой надо лог firewalla смотреть.

← →
Reindeer Moss Eater © (2004-03-19 17:00) [8]

FW здесь не причем.
Здесь просто недопустимая топология.

← →
Ihor Osov'yak © (2004-03-19 18:01) [9]

2 wnew (19.03.04 16:38) [6]

Мне нужен ай-пи на второй машине "реальный", а не с диапазона "локальных"

2 ISP © (19.03.04 16:44) [7]
> А с твоей темой надо лог firewalla смотреть.
А тоже был-бы счастлив, если бы керио что-то в лог написал.. Оутпост писал о блокировке "транзитных" пакетов - я уже это упоминал.
За упоминание Sygate Personal - спасибо, попробую..

2 Reindeer Moss Eater © (19.03.04 17:00) [8]

>Здесь просто недопустимая топология.

Может и недопустимая, но без FW (или деактивации последнего) - работает. Если можно, более подробно, в чем здесь недопустимость..

← →
NeyroSpace © (2004-03-19 18:08) [10]

ZoneAlarm однозначно!
как файр вол он железобетонный, последняя версия отлавливает не только обращение прог к сет. интерф., но и их помпонентов (например самой проге доступ разрешается, а ее DLL нет)
у него есть несколько недостатоков - он в отличии от керио не показывает состояния соединений и скорость передачи (хотя это решается фриварным TCPVIEW) и имеет немного запутанный интерфейс.

С керио 4.х что-то явно не в порядке. Фильтр пакетов работает, а слежка за приложениями отвратительная.

← →
wnew (2004-03-19 18:17) [11]

> Ihor Osov"yak © (19.03.04 18:01) [9]
> Мне нужен ай-пи на второй машине "реальный", а не с диапазона
> "локальных"

Не понимаю - что значит реальный IP? Второй комп, как я понимаю, находится в локальной сети и должен иметь выход в интернет через эту самую локальную сеть, именно поэтому и нужно прописывать в настройках файервола адрес второго компа в локальной сети. Можешь посмотреть - при включенном файерволе у тебя даже между компами нет связи не говоря уже о выходе в и-нет со второго компа.

← →
Ihor Osov'yak © (2004-03-19 18:57) [12]

2 wnew [11]
> что значит реальный IP
ip, не из диапазона диапазона локальных(частных) сетей. Соответствующим образом зарегистрированый.
192.168.0.2 как раз из этого диапазона локальных..

> при включенном файерволе у тебя даже между компами нет связи не говоря уже о выходе в и-нет со второго компа.

Странно, я что-то этого не заметил..

← →
Ihor Osov'yak © (2004-03-19 19:01) [13]

а с привода моего ляпсуса о NAT - взял в руки Олифера и Остерлох , начал читать.. Купил несколько месяцев назад, все руки не доходили.. Лучше поздно, чем никогда :-(

← →
wnew (2004-03-19 19:12) [14]

Если на первой машине W2k или XP - попробуй установить мост между сетевыми картами, наружной и локальной.

← →
wnew (2004-03-19 19:13) [15]

Хотя нет, без файервола работает.

Вопрос снят с постановкой ZoneAlarmPro.. Пока триальная, там посмотрим...

Спасибо всем откликнувшимся..

2 wnew © (19.03.04 20:56) [17]

Да лад, спасибо.. Если вещь стоящая, денег не жалко, тем более там, кажется, деньги небольшие..

NAT + personal firewall = trounle Найти похожие ветки