firevall vs route ???? - Сети

Kotstar · 15.11.2006, 09:50

WIN2003 ENTERPRISE SERVER
сеточка чуть больше полусотни машин, 2 сегмента, DSL модем.

после установки сервис пака и некоторых танцев с бубнами обнаружилось, что между сегментами есть связь. А мне нужна изоляция сегментов.

попытался запустить менеджер маршрутизации.
система ответила, что запустит его не раньше, чем я отключу и запрещу запуск службы брандмауэра.
отключил и запретил. запустилось. показало маршруты. заодно почему- то потух интернет.
После сноса настроек и отключения маршрутизации с последующим запуском службы брандмауэра интернет появился.

Так оно и должно быть???
Обьясните, какой спектр задач решают эти службы и почему происходи взаимоблокировка?

KomatoZo · 15.11.2006, 10:04

Оба сегмента и DSL на одном сервере? Тогда при отключении маршрутизации и должен вылетать интернет.
Вашу проблему проще всего решить установкой какого-нибудь нормального файрволла. Ну, скажем, той же ISA, или, мб, Kerio. Можно еще правилами IPSec поиграть, оно дешевле, но и сложнее.
Службы брандмауэра нужно отключить (внимание, здесь я могу ошибаться - не помню точно) скорее всего из-за того, что у RRAS есть свой встроенный файрволл.

gluon · 15.11.2006, 12:35

… разрешите полюбопытствовать, а каким образом пользователи внутренней сети выходят в Интернет без RRAS? чем NAT то делается, или на сервере какой то proxy стоит? или доступ к Интернет имел только сервер ?

в RRAS действительно есть брандмауэр, называющийся Basic Firewall (с большим ударением на первом слове), со стандартной службой брандмауэра RRAS “не совместим” (слова Microsoft’a, никогда не задавался вопросом почему)

возможно скажу всем известные вещи…
после установки RRAS, между непосредственно подключенными к серверу сегментами будет связь типа “routing”, чтобы сделать доступ из внутренней сети в Интернет, нужно настроить NAT, делается это, если не ошибаюсь, в пункте меню “NAT/Простой брандмауэр”, нужно добавить интерфейсы и задать их тип (не составит большого труда найти в Сетке подробные инструкции “в картинках” как всё это сделать)

Kotstar · 15.11.2006, 16:31

2 gluon

usergate 2.8

2 komatozo

ставил керило winroute - не смог разобраться. (ваще у меня проблема - не могу пока разобраться в структуре и синтаксисе маршрутизации)

KomatoZo · 15.11.2006, 16:42

Цитата:

Kotstar:
ваще у меня проблема - не могу пока разобраться в структуре и синтаксисе маршрутизации

Ну я, конечно, рад, что Вы признались в существовании такой проблемы... Но не расчитываете же Вы, что я расскажу Вам здесь все о маршрутизации и выдам на-гора готовый способ решения Вашей проблемы. Хотя бы с базовой маршрутизацией Вам придется разобраться, иначе Вы так и будете тыкаться в простейшие проблемы.
Кстати, проблема то, как я уже сказал, не в маршрутизации. Вам нужно просто запретить файрволлом траффик между сегментами, при этом не запретив траффик, идущий наружу.

gluon · 15.11.2006, 17:10

Мне тоже рассказывать об основах маршрутизации в Windows не досуг, но, возможно, к данной ситуации можно подойти и проще, если в локальной сети нет клиентов NAT (информации на это счет так и не было), а между внутренними сегментами маршрутизация вообще не нужна – ну так и выключить маршрутизацию совсем:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Параметр: IPEnableRouter
1 – разрешена
0 – запрещена

Kotstar · 16.11.2006, 07:53

2 komatozo
стандартным брандмауэром я этого сделать не могу. он включается для всех интерфейсов.

нет линка на нормальное пособие по маршрутизации? (второй день читаю виндовый хэлп - пока толку мало)

2 dluon
чего-то не так. у меня этот параметр равен "0", а связь между сегментами имеется в наличии.

KomatoZo · 16.11.2006, 09:10

Цитата:

Kotstar:
стандартным брандмауэром я этого сделать не могу

А я Вам и не предлагаю. Я еще в своем первом посте назвал два варианта. По поводу пособий - попробую что-нибудь найти у себя и залить, хотя почти наверняка найду только на English.

Kotstar · 16.11.2006, 11:17

2 komatozo
не хотелось бы пока.... я пробовал прицепить аутпост - почему- то стал ощутимо утормаживать.
на инглише наверное стоит только в крайнем случае, я его читаю не очень хорошо

KomatoZo · 16.11.2006, 11:47

Вообще наверняка в любом нормальном книжном магазине рядом с Вашим домом есть одна из книг:
hxxp://www.ozon.ru/context/detail/id/1375992/
hxxp://www.ozon.ru/context/detail/id/1568922/
hxxp://www.ozon.ru/context/detail/id/1699304/
Все три вполне внятные и доходчивые. Купите одну из них и читайте-тренеруйтесь.

gluon · 16.11.2006, 12:03

Я ничего не перепутал: при отключенном Usergate, неустановленном RRAS, при IPEnableRouter = 0, межу сетями подключенными к двум разным сетевым картам на сервере, пакеты проходят ?!

KomatoZo · 16.11.2006, 12:09

Цитата:

Kotstar:
чего-то не так. у меня этот параметр равен "0", а связь между сегментами имеется в наличии.

Упс... Я тоже как-то этот момент пропустил... Такое возможно, но только при наличии какого-то стороннего софта...

Kotstar · 16.11.2006, 14:01

2 all
оопс! Отсохла сетевая карта как устройство, после перезагрузки появилась, но связь сегментов исчезла (вплоть до пингов).
Похоже у меня на сервере глюки.
Не представляю как теперь это все приводить к какой-либо теории

((

KomatoZo · 16.11.2006, 14:03

Для того, чтобы привести что-либо к теории нужно эту теорию изучить.
Попробуйте почитать вывод команды netdiag, может что и придумаете =)

Kotstar · 16.11.2006, 14:04

2 gluon
однозначно не скажу.
сейчас: usergate включен.
маршрутизация выключена.
файрвол запущен как сервис, но не включен в настройках.
пакеты между серментами не идут, трацерт отваливается по таймауту.

KomatoZo · 16.11.2006, 14:05

Берите как еще Netmon на вооружение, или какой-нибудь другой сниффер. И нюхайте траффик до полного прояснения ситуации.

Kotstar · 16.11.2006, 14:06

2 komatozo
netdiag не отзывается. система такого компонента не знает

(у меня win2003ent SP1)

gluon · 16.11.2006, 14:17

Цитата:

Kotstar:
однозначно не скажу.
сейчас: usergate включен.
маршрутизация выключена.
файрвол запущен как сервис, но не включен в настройках.
пакеты между серментами не идут, трацерт отваливается по таймауту.

не понял что именно у вас не работает, но то что пинги между локальными сегментами в этом случае не идут - так так и должно быть

Kotstar · 16.11.2006, 14:31

2 gluon
до перезагрузки, с этими-же настройками между сегментами шли пинги и происходила раздача ресурсов.
не работал только обзор компьютеров (виделись только рабочие станции в своем сегменте)

gluon · 16.11.2006, 14:52

Это то и не объяснимо, как без сконфигурированной (судя по вашим словам) маршрутизации между внутренними сетями проходил тот же ping, UG 2.8, по-моему (могу ошибаться), этого делать не умеет, в “стандартных условиях”, если бы сейчас запустить RRAS, или поставить IPEnableRouter = 1, между локальными сегментами связь бы появилась, а в вашей ситуации, даже в этом уже сомневаюсь. Не знаю, правда как на это отреагирует UG, сейчас доступе в Интернет тоже пропал ?

15.11.2006, 09:50	# 1
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	firevall vs route ???? WIN2003 ENTERPRISE SERVER сеточка чуть больше полусотни машин, 2 сегмента, DSL модем. после установки сервис пака и некоторых танцев с бубнами обнаружилось, что между сегментами есть связь. А мне нужна изоляция сегментов. попытался запустить менеджер маршрутизации. система ответила, что запустит его не раньше, чем я отключу и запрещу запуск службы брандмауэра. отключил и запретил. запустилось. показало маршруты. заодно почему- то потух интернет. После сноса настроек и отключения маршрутизации с последующим запуском службы брандмауэра интернет появился. Так оно и должно быть??? Обьясните, какой спектр задач решают эти службы и почему происходи взаимоблокировка?

15.11.2006, 10:04	# 2
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Оба сегмента и DSL на одном сервере? Тогда при отключении маршрутизации и должен вылетать интернет. Вашу проблему проще всего решить установкой какого-нибудь нормального файрволла. Ну, скажем, той же ISA, или, мб, Kerio. Можно еще правилами IPSec поиграть, оно дешевле, но и сложнее. Службы брандмауэра нужно отключить (внимание, здесь я могу ошибаться - не помню точно) скорее всего из-за того, что у RRAS есть свой встроенный файрволл. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

16.11.2006, 11:47	# 10
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Вообще наверняка в любом нормальном книжном магазине рядом с Вашим домом есть одна из книг: hxxp://www.ozon.ru/context/detail/id/1375992/ hxxp://www.ozon.ru/context/detail/id/1568922/ hxxp://www.ozon.ru/context/detail/id/1699304/ Все три вполне внятные и доходчивые. Купите одну из них и читайте-тренеруйтесь. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

16.11.2006, 14:01	# 13
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 all оопс! Отсохла сетевая карта как устройство, после перезагрузки появилась, но связь сегментов исчезла (вплоть до пингов). Похоже у меня на сервере глюки. Не представляю как теперь это все приводить к какой-либо теории((

16.11.2006, 14:03	# 14
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Для того, чтобы привести что-либо к теории нужно эту теорию изучить. Попробуйте почитать вывод команды netdiag, может что и придумаете =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

15.11.2006, 12:35	# 3
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	… разрешите полюбопытствовать, а каким образом пользователи внутренней сети выходят в Интернет без RRAS? чем NAT то делается, или на сервере какой то proxy стоит? или доступ к Интернет имел только сервер ? в RRAS действительно есть брандмауэр, называющийся Basic Firewall (с большим ударением на первом слове), со стандартной службой брандмауэра RRAS “не совместим” (слова Microsoft’a, никогда не задавался вопросом почему) возможно скажу всем известные вещи… после установки RRAS, между непосредственно подключенными к серверу сегментами будет связь типа “routing”, чтобы сделать доступ из внутренней сети в Интернет, нужно настроить NAT, делается это, если не ошибаюсь, в пункте меню “NAT/Простой брандмауэр”, нужно добавить интерфейсы и задать их тип (не составит большого труда найти в Сетке подробные инструкции “в картинках” как всё это сделать)

15.11.2006, 16:31	# 4
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 gluon usergate 2.8 2 komatozo ставил керило winroute - не смог разобраться. (ваще у меня проблема - не могу пока разобраться в структуре и синтаксисе маршрутизации)

15.11.2006, 17:10	# 6
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	Мне тоже рассказывать об основах маршрутизации в Windows не досуг, но, возможно, к данной ситуации можно подойти и проще, если в локальной сети нет клиентов NAT (информации на это счет так и не было), а между внутренними сегментами маршрутизация вообще не нужна – ну так и выключить маршрутизацию совсем: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Параметр: IPEnableRouter 1 – разрешена 0 – запрещена

16.11.2006, 07:53	# 7
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 komatozo стандартным брандмауэром я этого сделать не могу. он включается для всех интерфейсов. нет линка на нормальное пособие по маршрутизации? (второй день читаю виндовый хэлп - пока толку мало) 2 dluon чего-то не так. у меня этот параметр равен "0", а связь между сегментами имеется в наличии.

16.11.2006, 11:17	# 9
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 komatozo не хотелось бы пока.... я пробовал прицепить аутпост - почему- то стал ощутимо утормаживать. на инглише наверное стоит только в крайнем случае, я его читаю не очень хорошо

16.11.2006, 12:03	# 11
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	Я ничего не перепутал: при отключенном Usergate, неустановленном RRAS, при IPEnableRouter = 0, межу сетями подключенными к двум разным сетевым картам на сервере, пакеты проходят ?!

16.11.2006, 14:04	# 15
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 gluon однозначно не скажу. сейчас: usergate включен. маршрутизация выключена. файрвол запущен как сервис, но не включен в настройках. пакеты между серментами не идут, трацерт отваливается по таймауту.

16.11.2006, 14:05	# 16
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Берите как еще Netmon на вооружение, или какой-нибудь другой сниффер. И нюхайте траффик до полного прояснения ситуации. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

16.11.2006, 14:06	# 17
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 komatozo netdiag не отзывается. система такого компонента не знает (у меня win2003ent SP1)

16.11.2006, 14:31	# 19
Kotstar Junior Member Регистрация: 24.09.2002 Адрес: Ейск Сообщения: 61	2 gluon до перезагрузки, с этими-же настройками между сегментами шли пинги и происходила раздача ресурсов. не работал только обзор компьютеров (виделись только рабочие станции в своем сегменте)

16.11.2006, 14:52	# 20
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	Это то и не объяснимо, как без сконфигурированной (судя по вашим словам) маршрутизации между внутренними сетями проходил тот же ping, UG 2.8, по-моему (могу ошибаться), этого делать не умеет, в “стандартных условиях”, если бы сейчас запустить RRAS, или поставить IPEnableRouter = 1, между локальными сегментами связь бы появилась, а в вашей ситуации, даже в этом уже сомневаюсь. Не знаю, правда как на это отреагирует UG, сейчас доступе в Интернет тоже пропал ?