Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
WinCity.Ru _ Microsoft Windows Server 2003 _ Помогите понять или разобраться
Автор: Theridiidae Вторник, 10 Марта 2009, 10:39
Огромное спасибо Барэль, Egor. В прошлых моих темах.
Маленький вопрос в оснастке на DHCP на имени сервера и области появился восклицательный знак, не могу понять причины. Где можно посмотреть?
И главная проблема, как я раньше говорил сеть устроена следующим образом. Локалка, со своим DC => прозрачный фаервол FreeBSD он же роутер, счетчик трафика => сеть провайдера...
Столкнулся со следующей проблемой. Фаервол осуществляет проброс в сеть провайдера. Но сам при этом не пингует внешнюю сеть не ping ya.ru (пишет нет резолва), не пинг 213.180.204.8 (просто молчит). Внутренняя сеть работает нормально. Но как только я добавляю правила разрешающие фаерволу видел внешнюю сеть. Внутренняя падает.
Автор: Барэль Вторник, 10 Марта 2009, 13:42
Всё что происходит в DHCP заносится в логи.
C:\WINDOWS\system32\dhcp
Автор: Theridiidae Среда, 11 Марта 2009, 15:55
Спасибо Барэль!
С DHCP разобрался, а вот с какой стороны зайти ко второй проблеме не знаю =
Автор: Барэль Четверг, 12 Марта 2009, 12:59
По поводу второй проблемы. Посмотри настройки DNS.
Автор: Egor Четверг, 12 Марта 2009, 19:26
Как это выглядит?
Автор: Барэль Пятница, 13 Марта 2009, 0:51
Egor, сдается мне это те грабли, на которые я наступил и в решении которых ты мне помогал 
Автор: Egor Пятница, 13 Марта 2009, 14:52
Еще-бы вспомнить
Автор: Барэль Суббота, 14 Марта 2009, 0:36
Вот за этим я и попросил настройки DNS
Автор: Theridiidae Понедельник, 30 Марта 2009, 8:35
Извиняюсь за столь долгое отсутствие, свалились другие дела =(
мое выражение "внутренняя сеть падает" на тот момент было эмоциональным заявлением "Шеф, шеф все пропало 
" ниже пояснение.
Как только на фаерволе добавляю правила
ipfw add 1 allow udp from me to any 53
ipfw add 1 allow udp from any 53 to me
далее во внутренней сети пропадает интернет но частями (ping проходит не на все сайты... www.wincity.ru, www.yandex.ru пингуеться, www.ru, www.ya.ru уже не пингуеться.), DNS с локальных машин виден
C:>nslookup -q=any erliftoffice.local
Server: server00.erliftoffice.local
Address: 192.168.1.2
erliftoffice.local internet address = 192.168.1.2
erliftoffice.local nameserver = server00.erliftoffice.local
erliftoffice.local
primary name server = server00.erliftoffice.local
responsible mail addr = hostmaster
serial = 246
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
server00.erliftoffice.local internet address = 192.168.1.2
Удаляю правила на фаерволе, сразу все нормализуется.
Автор: Уух Понедельник, 30 Марта 2009, 12:30
Опубликуй содержимое файлов /etc/rc.conf, /etc/resolf.conf и все правила firewall. По другому сложно подсказать.
Автор: Барэль Понедельник, 30 Марта 2009, 13:41
Уух, доброе утро, это Windows Server.
Автор: Theridiidae Понедельник, 30 Марта 2009, 14:36
Барэль А фаервол под FreeBSD
Вот только насколько уместно это обсуждать в данном форуме, но косяки с интернетом начинаться именно после того как добавляю правила на фаервол...
# Created: Sat May 17 23:47:50 2003
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
hostname="router.com"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
kern_securelevel_enable="NO"
moused_enable="YES"
moused_port="/dev/cuaa1"
nfs_reserved_port_only="YES"
sendmail_enable="NONE"
sshd_enable="YES"
usbd_enable="NO"
usbd_enable="NO"
pccard_ifconfig="NO"
pccard_mem="DEFAULT"
keymap="ru.koi8-r"
ifconfig_rl1="inet 62.XXX.XXX.18 netmask 255.255.255.248"
defaultrouter="62.XXX.XXX.17"
hostname="router.com"
firewall_enable="yes"
natd_enable="yes"
natd_interface="rl1"
kern_securelevel="2"
kern_securelevel_enable="YES"
sendmail_enable="NONE"
nfs_server_enable="NO"
nfs_reserved_port_only="YES"
hostname="router.com"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
named_flags="-u bind -g bind -t /etc/namedb/sandbox"# -- sysinstall generated deltas -- # Tue Dec 2 09:32:10 2008
kern_securelevel_enable="NO"
sendmail_enable="NONE"
gateway_enable="YES"
sshd_enable="YES"
nfs_reserved_port_only="YES"
Резолв на DNS провайдера
nameserver 62.105.33.1
#nameserver 192.168.1.2
Автор: Theridiidae Среда, 01 Апреля 2009, 10:49
Подскажите куда копать =\\\ Пожалуйста...
Автор: Уух Среда, 01 Апреля 2009, 14:13
Пока нас отсюда не выгнали ))
Набери в консоле ipfw list - это список всех правил. И отправь их сюда )) Из твоего конфига не понятно, откуда они вообще берутся.
Автор: Барэль Среда, 01 Апреля 2009, 15:11
Да никто не выгонит, успокойтесь
Автор: Theridiidae Среда, 01 Апреля 2009, 16:12
rc.config не совсем правилен, некоторые строчки дублируються, насколько я понимаю этого быть не должно 
00034 deny tcp from any 3306 to any via rl1
00035 deny tcp from any to any 3306 via rl1
00040 deny tcp from any to any 135-139
00045 deny tcp from any 135-139 to any
00090 allow ip from 192.168.1.2 to 62.XXX.XXX.18
00095 allow ip from 62.XXX.XXX.18 to 192.168.1.2 via rl1
00185 allow tcp from 192.168.1.2 to 192.168.1.1 22
00187 allow tcp from 192.168.1.1 22 to 192.168.1.2
00190 allow ip from 192.168.1.2 to any via rl0
00195 allow ip from any to 192.168.1.2 via rl1
00197 allow ip from any to 192.168.1.2 via rl0
00198 allow tcp from 192.168.1.3 to 192.168.1.1 22
00199 allow tcp from 192.168.1.1 22 to 192.168.1.3
00200 allow ip from 192.168.1.3 to any
00201 allow ip from any to 192.168.1.3 via rl1
00202 allow ip from any to 192.168.1.3 via rl0
00210 allow ip from 192.168.1.4 to any
00211 allow ip from any to 192.168.1.4 via rl1
00212 allow ip from any to 192.168.1.4 via rl0
00220 allow ip from 192.168.1.5 to any
00221 allow ip from any to 192.168.1.5 via rl1
00222 allow ip from any to 192.168.1.5 via rl0
00230 allow ip from 192.168.1.6 to any
00231 allow ip from any to 192.168.1.6 via rl1
00232 allow ip from any to 192.168.1.6 via rl0
00240 allow ip from 192.168.1.7 to any
00241 allow ip from any to 192.168.1.7 via rl1
00242 allow ip from any to 192.168.1.7 via rl0
00250 allow ip from 192.168.1.8 to any
00251 allow ip from any to 192.168.1.8 via rl1
00252 allow ip from any to 192.168.1.8 via rl0
00260 allow ip from 192.168.1.9 to any
00261 allow ip from any to 192.168.1.9 via rl1
00262 allow ip from any to 192.168.1.9 via rl0
00270 allow ip from 192.168.1.10 to any
00271 allow ip from any to 192.168.1.10 via rl1
00272 allow ip from any to 192.168.1.10 via rl0
00280 allow ip from 192.168.1.11 to any
00281 allow ip from any to 192.168.1.11 via rl1
00282 allow ip from any to 192.168.1.11 via rl0
00290 allow ip from 192.168.1.12 to any
00291 allow ip from any to 192.168.1.12 via rl1
00292 allow ip from any to 192.168.1.12 via rl0
00300 allow ip from 192.168.1.13 to any
00301 allow ip from any to 192.168.1.13 via rl1
00302 allow ip from any to 192.168.1.13 via rl0
00310 allow ip from 192.168.1.14 to any
00311 allow ip from any to 192.168.1.14 via rl1
00312 allow ip from any to 192.168.1.14 via rl0
00320 allow ip from 192.168.1.15 to any
00321 allow ip from any to 192.168.1.15 via rl1
00322 allow ip from any to 192.168.1.15 via rl0
00330 allow ip from 192.168.1.16 to any
00331 allow ip from any to 192.168.1.16 via rl1
00332 allow ip from any to 192.168.1.16 via rl0
00340 allow ip from 192.168.1.17 to any
00341 allow ip from any to 192.168.1.17 via rl1
00342 allow ip from any to 192.168.1.17 via rl0
00350 allow ip from 192.168.1.18 to any
00351 allow ip from any to 192.168.1.18 via rl1
00352 allow ip from any to 192.168.1.18 via rl0
00360 allow ip from 192.168.1.19 to any
00361 allow ip from any to 192.168.1.19 via rl1
00362 allow ip from any to 192.168.1.19 via rl0
00370 allow ip from 192.168.1.20 to any
00371 allow ip from any to 192.168.1.20 via rl1
00372 allow ip from any to 192.168.1.20 via rl0
00380 allow ip from 192.168.1.21 to any
00381 allow ip from any to 192.168.1.21 via rl1
00382 allow ip from any to 192.168.1.21 via rl0
00390 allow ip from 192.168.1.22 to any
00391 allow ip from any to 192.168.1.22 via rl1
00392 allow ip from any to 192.168.1.22 via rl0
00400 allow ip from 192.168.1.23 to any
00401 allow ip from any to 192.168.1.23 via rl1
00402 allow ip from any to 192.168.1.23 via rl0
65000 allow ip from 62.XXX.XXX.18 to any
65535 deny ip from any to any
Автор: Уух Четверг, 02 Апреля 2009, 19:32
Эти разрешения должны идти после правил NAT.
-> 00020 divert 8668 ip from any to any via rl1
То есть порядковые номера правил назначай больше 20.
ipfw add 21 allow udp from me to any 53
ipfw add 22 allow udp from any 53 to me
У меня на машине выглядит следующим образом:
#pass local interface
add 100 pass all from any to any via lo0
#natd
add 200 divert natd all from any to any via rl0
#icmp (разрешение любых пингов :-))
add 300 pass icmp from any to any
#dns freebsd (разрешение запросов на определение адресов DNS от самого роутера до серверов провайдера)
add 400 pass udp from me to 95.66.xx.xx, 95.66.xx.xx
add 500 pass udp from 95.66.xx.xx, 95.66.xx.xx to me
В теории нужно еще открывать запросы по TCP, порт то же - 53. Но это в теории :-))
Автор: Theridiidae Понедельник, 06 Апреля 2009, 10:48
Всем спасибо.
Особая благодарность Уух
Привел правила в порядок и исчез еще один косячок =))))
Уух А могли бы выложить rc.conf для примера...
или на мыло dieselточкаru@gmailточкаcom
Автор: Уух Вторник, 07 Апреля 2009, 21:16
Сомневаюсь что это поможет, но все же :-))
#убил всю почту
sendmail_enable="NONE"
#машинка используется как маршрутизатор, за ней присутствуют внешние ip - адреса.
router_flags="-q"
router="/sbin/routed"
router_enable="YES"
ifconfig_rl0="inet 95.66.xx.xx netmask 255.255.255.128"
ifconfig_rl1="inet 192.168.0.10 netmask 255.255.255.0"
hostname="its.xxx.ru"
gateway_enable="YES"
defaultrouter="95.66.xx.xx"
#синхронизация времени при загрузке
ntpdate_flags="europe.pool.ntp.org"
ntpdate_enable="YES"
#за машинкой присутствуют локальные ip - адреса.
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
#доступ к машинке по 22 порту
sshd_enable="YES"
#поддержка линукс
linux_enable="YES"
#правила межсетевого экрана
firewall_enable="YES"
firewall_type="/etc/fw.conf"
#апач
httpd_enable="YES"
#мускул
mysql_enable="YES"
#фтп
vsftpd_enable="YES"
#автоматическая раздача локальных ip-адресов
dhcpd_enable="YES"
#проверка дисков при каждой перезагрузке
background_fsck="NO"
fsck_y_enable="YES"
Э... И все это в Microsoft Windows Server 2003 ))
Автор: Theridiidae Среда, 08 Апреля 2009, 8:21
Даааа =))) Если бы это было реализовано на дружественном интерфейсе мелкомягких, то там можно было бы сломать не только ноги, но и руки вместе с мозгом =))))
rc.conf попросил, хотел понять где что должно быть, а то в моем rc ноги можно по переломать, смотрел man по rc там столько всего написано %). Хотел порядок посмотреть, насколько принципиально придерживаться структуры которая описана в man странице... Еще раз спасибо...
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)