Помогите плиз: Route и DHCP кто хоть немного сечет - Операционные системы M$

denver · 16.06.2004, 21:15

Вступление.
Соединение с инетом через броадбенд (инет по телекабелю). Есть украина со своей подсетью UA-IX, есть список этих подсетей. Есть пров который предоставляет доступ к UA-IX бесплатно, но за зарубежку деньги снимают. Есть идея закрыть доступ к зарубежке нафиг.

Решение казалось бы единственно верное и красивое. Для начала удаляем все маршруты и закрывает интернет наглухо:
route delete 0.0.0.0 mask 0.0.0.0
Затем добавляем все подсети UA-IX так:
route add 62.64.64.0 mask 255.255.248.0 82.144.208.1
route add 62.149.7.0 mask 255.255.255.0 82.144.208.1
...

Последний айпишник - естественно шлюз провайдера.
Итого - Украину загружает, зарубеж нет. Что и требовалось!

Однако проблема вот в чем: В настройках соединения с инетом стоит автоматическое определение IP адреса (Айпишник по идее динамический, однако меняется оччччень редко). Некая фигнюлина называемая DHCP каждый час отчего-то сбрасывает самое первое правило (т.е. route delete 0.0.0.0 mask 0.0.0.0) тем самым разрешая доступ к миру. Собственно это и есть главная проблема

Если же в настройках убрать определение IP автоматом и прописать его самому (он такой динамический как я балерина, полгода один и тот-же) то отчего-то через некоторое время звонит злой админ (раньше никогда такого не случалось чтоб САМИ админы звонили) и ругается что сеть их может полететь нафиг, врубай мол автоматическое определение взад. Почему сеть может полететь убей не понимаю

(мне пока админ не звонил, мне пересказали. Звонить же ему бесполезно - не соединят).

Если кто подскажет решение проблемы (напоминаю DHCP каждый час сбрасывает самую важную запись в таблице маршрутов) буду оччччень благодарен. Если еще объясните почему сеть может полететь (или админ гонит беса?) то ваще нет границ моему спасибу

З.Ы. Стоит система Xp

З.З.Ы. Никакой локальной сети нет. Интересует только закрыть зарубеж для локального компьютера подсоединенного к броадбенду.

З.З.З.Ы. Нашел интересную статью http://support.microsoft.com/?id=246804
Попой чувствую что это и есть то что надо! Но там столько всяких ветвей в реестре для разных случаев, а я в TCP/IP не шарю и не знаю что конкретно изменять в моем случае

(

Lyonia · 17.06.2004, 09:55

Сделай пожалуста после конекта (без !! твоих изменений)
route print
попробуем разобратся

я в этом не очень но что то тут не то. DHCP только адреса дает и все, значит есть еще что

denver · 17.06.2004, 14:56

Да в принципе не важно что там выдает (тем более там более 800 строк). Черт. Не могу просто корректно задать вопрос.

Кто-то (возможно DHCP) в некоторые промежутки времени (возможно каждый час) делает ipconfig /renew что и разрешает доступ ко всему миру.

Lyonia · 17.06.2004, 17:59

Сам сервер и делает
думаю что сеть можно отклуичить другим способом
например перенаравив ее на 127.0.0.1

Murzilka · 17.06.2004, 18:21

Цитата:

denver:
З.З.З.Ы. Нашел интересную статью http://support.microsoft.com/?id=246804

То, та это то. Но для серваков которые тебе и будут раздавать адреса, т.е. этими настройками пров должОн заниматься, а он, как я понимаю - не будет.
Можно попытаться файрвол поставить и запретить в нем все подсети, кроме тех, что нужны. С конкретными настройками, эт уже по конкретному фаеру смотреть надо

denver · 17.06.2004, 19:50

Murzilka
Юзаю аутпост. Туда пока вобъешь 800 подсетей ох..ешь. И к тому ж придется вводить их в правилах к каждой проге.

denver · 18.06.2004, 03:44

Прикрепил архив: два файла, результаты выполнения route print
1st.txt - сразу после отрубания выхода в мир
2nd.txt - через час

Есть два различия. Во втором дампе добавился маршрут:

Код:

Сетевой адрес: 0.0.0.0
Маска сети: 0.0.0.0
Адрес шлюза: 82.144.208.1
Интерфейс: 82.144.208.192
Метрика: 30

(82.144.208.192 - мой айпишник). Также добавилась строка:

Код:

Основной шлюз:  82.144.208.1

Итак вопрос остается: что где поменять чтобы это не добавлялось?

Murzilka · 18.06.2004, 10:46

Цитата:

denver:
Юзаю аутпост. Туда пока вобъешь 800 подсетей ох..ешь. И к тому ж придется вводить их в правилах к каждой проге.

В том то и прикол.

Я юзаю ZoneAlarm.
Его на это настроить гораздо проще. Прописываешь только разрешенный диапазон, а ниже блокируешь все. Только что проверил, замечательно обрезает.

Спроси в топике по Аутпосту. Люди, поди, подскажут как его настроить быстро и качественно

denver · 18.06.2004, 12:10

Murzilka
Аутпост я знаю назубок - его не настроишь иначе. Менять неохота, да и незачем. Думаю решенеие где-то рядом.

В принципе достаточно каждый час запускать route delete 0.0.0.0 mask 0.0.0.0 тогда все снова становится на свои места и инет зарубеж опять не пускает (весь предыдущий список сохраняется). Вот только неясно в какой момент DHCP добавляет дефолтный гейт. Может время хотя-бы можно где отследить? Например через WinApi или в реестре накрайняк?

Murzilka · 18.06.2004, 12:36

Цитата:

denver:
Вот только неясно в какой момент DHCP добавляет дефолтный гейт

Так в момент обновления и цепляет. Тебе его вместе с адресом впаривают, если в настойках DHCP сервака так настроено. Можно попробовать на закладке "Advanced TCP/IP Setting" в свойствах соединения выставить свой гейт. Мне проверить не на чем

Хотя ipconfig после renew и пишет что гейт по умолчанию указаный мной, но проверить все ж надо

Lyonia · 18.06.2004, 12:52

подозрительно что каждый час идут обновления DHCP обычно это делается раз в несколько дней максимум раз в день никто не хочет загружать сеть этой ерундой.

может у тебя какfято програvма в трее сидит и проверает соединения например что то с DynDNS ?

denver · 18.06.2004, 13:32

Lyonia

Цитата:

думаю что сеть можно отклуичить другим способом
например перенаравив ее на 127.0.0.1

Еще не проверял, сегодня проверю. Но мне кажется что все равно будет слетать.

Цитата:

подозрительно что каждый час идут обновления DHCP

Насколько я понял интервал выставляется на сервере провайдера. Нагружает думаю не так сильно, учитывая что в броадбенде и так широковещательный трафик поступает.

Murzilka

Цитата:

Так в момент обновления и цепляет.

Угу, но мне надо отследить точное время. А настроить доп. параметры можно если отключить автоматическое определение IP, но тогда раз в час звонит злой админ. Не знаю что лучше

Murzilka · 18.06.2004, 13:45

Цитата:

denver:
А настроить доп. параметры можно если отключить автоматическое определение IP,

Неа. Кнопочка "Advanced" в свойствах протокола. А там уже добавляешь гейт, впрочем и все остальное тож можно

Ежели айпишник забить - просекут, а если гейт - не должны по идее пробивать такое действо
И метрику забить 1, а не автомат. Хотя мож и с автоматом работать будет, но 1 - надежнее

)

denver · 18.06.2004, 15:25

Murzilka
Хм.. вечером попробую. Спасибо за совет.

denver · 18.06.2004, 21:45

Murzilka
Не, к cожалению не прошел такой фокус.

FantomIL · 18.06.2004, 22:29

denver
А в Аутпосте нельзя создать правило, которое запрещает прием ARP-ответов?

denver · 18.06.2004, 23:42

FantomIL
Хм.. если б я знал что это

Наверное нет, раз я не знаю.
В любом случае фаервол это не то что хотелось бы - хотца свою утилитку сделать.

Ладна, раз никто ничего не знает то ну ево нафиг, чувствую что придется делать ежечасный route delete. Темку прикроем.

Murzilka · 19.06.2004, 18:47

Странно, у меня вроде получалось...
А если DHCP Client сервис положить опосля загрузки???

Murzilka · 08.07.2004, 12:20

Наткнулся вот на программулину
_http://www.bestfilez.net/forums/index.php?act=ST&f=3&t=12730

Может это тебя спасет?

denver · 08.07.2004, 13:38

Murzilka
Гы. Это собственно и есть та програмулина которую я написал

16.06.2004, 21:15	# 1
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Помогите плиз: Route и DHCP кто хоть немного сечет Вступление. Соединение с инетом через броадбенд (инет по телекабелю). Есть украина со своей подсетью UA-IX, есть список этих подсетей. Есть пров который предоставляет доступ к UA-IX бесплатно, но за зарубежку деньги снимают. Есть идея закрыть доступ к зарубежке нафиг. Решение казалось бы единственно верное и красивое. Для начала удаляем все маршруты и закрывает интернет наглухо: route delete 0.0.0.0 mask 0.0.0.0 Затем добавляем все подсети UA-IX так: route add 62.64.64.0 mask 255.255.248.0 82.144.208.1 route add 62.149.7.0 mask 255.255.255.0 82.144.208.1 ... Последний айпишник - естественно шлюз провайдера. Итого - Украину загружает, зарубеж нет. Что и требовалось! Однако проблема вот в чем: В настройках соединения с инетом стоит автоматическое определение IP адреса (Айпишник по идее динамический, однако меняется оччччень редко). Некая фигнюлина называемая DHCP каждый час отчего-то сбрасывает самое первое правило (т.е. route delete 0.0.0.0 mask 0.0.0.0) тем самым разрешая доступ к миру. Собственно это и есть главная проблема Если же в настройках убрать определение IP автоматом и прописать его самому (он такой динамический как я балерина, полгода один и тот-же) то отчего-то через некоторое время звонит злой админ (раньше никогда такого не случалось чтоб САМИ админы звонили) и ругается что сеть их может полететь нафиг, врубай мол автоматическое определение взад. Почему сеть может полететь убей не понимаю (мне пока админ не звонил, мне пересказали. Звонить же ему бесполезно - не соединят). Если кто подскажет решение проблемы (напоминаю DHCP каждый час сбрасывает самую важную запись в таблице маршрутов) буду оччччень благодарен. Если еще объясните почему сеть может полететь (или админ гонит беса?) то ваще нет границ моему спасибу З.Ы. Стоит система Xp З.З.Ы. Никакой локальной сети нет. Интересует только закрыть зарубеж для локального компьютера подсоединенного к броадбенду. З.З.З.Ы. Нашел интересную статью http://support.microsoft.com/?id=246804 Попой чувствую что это и есть то что надо! Но там столько всяких ветвей в реестре для разных случаев, а я в TCP/IP не шарю и не знаю что конкретно изменять в моем случае ( __________________ sapienti sat. Последний раз редактировалось denver; 16.06.2004 в 21:20.

17.06.2004, 14:56	# 3
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Да в принципе не важно что там выдает (тем более там более 800 строк). Черт. Не могу просто корректно задать вопрос. Кто-то (возможно DHCP) в некоторые промежутки времени (возможно каждый час) делает ipconfig /renew что и разрешает доступ ко всему миру. __________________ sapienti sat.

17.06.2004, 19:50	# 6
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Murzilka Юзаю аутпост. Туда пока вобъешь 800 подсетей ох..ешь. И к тому ж придется вводить их в правилах к каждой проге. __________________ sapienti sat.

18.06.2004, 12:10	# 9
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Murzilka Аутпост я знаю назубок - его не настроишь иначе. Менять неохота, да и незачем. Думаю решенеие где-то рядом. В принципе достаточно каждый час запускать route delete 0.0.0.0 mask 0.0.0.0 тогда все снова становится на свои места и инет зарубеж опять не пускает (весь предыдущий список сохраняется). Вот только неясно в какой момент DHCP добавляет дефолтный гейт. Может время хотя-бы можно где отследить? Например через WinApi или в реестре накрайняк? __________________ sapienti sat.

18.06.2004, 15:25	# 14
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Murzilka Хм.. вечером попробую. Спасибо за совет. __________________ sapienti sat.

17.06.2004, 09:55	# 2
Lyonia Junior Member Регистрация: 26.12.2002 Адрес: У бога запазухой (разговариваем с ним по местному тарифу) Сообщения: 85	Сделай пожалуста после конекта (без !! твоих изменений) route print попробуем разобратся я в этом не очень но что то тут не то. DHCP только адреса дает и все, значит есть еще что

17.06.2004, 17:59	# 4
Lyonia Junior Member Регистрация: 26.12.2002 Адрес: У бога запазухой (разговариваем с ним по местному тарифу) Сообщения: 85	Сам сервер и делает думаю что сеть можно отклуичить другим способом например перенаравив ее на 127.0.0.1

18.06.2004, 12:52	# 11
Lyonia Junior Member Регистрация: 26.12.2002 Адрес: У бога запазухой (разговариваем с ним по местному тарифу) Сообщения: 85	подозрительно что каждый час идут обновления DHCP обычно это делается раз в несколько дней максимум раз в день никто не хочет загружать сеть этой ерундой. может у тебя какfято програvма в трее сидит и проверает соединения например что то с DynDNS ?

18.06.2004, 21:45	# 15
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Murzilka Не, к cожалению не прошел такой фокус. __________________ sapienti sat.

18.06.2004, 22:29	# 16
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	denver А в Аутпосте нельзя создать правило, которое запрещает прием ARP-ответов? __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

18.06.2004, 23:42	# 17
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	FantomIL Хм.. если б я знал что это Наверное нет, раз я не знаю. В любом случае фаервол это не то что хотелось бы - хотца свою утилитку сделать. Ладна, раз никто ничего не знает то ну ево нафиг, чувствую что придется делать ежечасный route delete. Темку прикроем. __________________ sapienti sat.

19.06.2004, 18:47	# 18
Murzilka Registered Luser Регистрация: 11.01.2003 Сообщения: 218	Странно, у меня вроде получалось... А если DHCP Client сервис положить опосля загрузки??? __________________ I dont like the drugs, but the drugs like me (c) Marilyn Manson

08.07.2004, 12:20	# 19
Murzilka Registered Luser Регистрация: 11.01.2003 Сообщения: 218	Наткнулся вот на программулину _http://www.bestfilez.net/forums/index.php?act=ST&f=3&t=12730 Может это тебя спасет? __________________ I dont like the drugs, but the drugs like me (c) Marilyn Manson

08.07.2004, 13:38	# 20
denver ::VIP:: Регистрация: 02.12.2001 Адрес: Hohland Сообщения: 2 260	Murzilka Гы. Это собственно и есть та програмулина которую я написал __________________ sapienti sat.