тема такая - есть локалькая сеть(мой офис) есть удаленная сеть (главный офис) связаны через прова спутникового
настроить на стороне главного офиса ничего не возможно по причине его удаленности - админы его дали только свой айпишник и всё - задача была сделать минимальный абсолютно прозрачный рутер БЕЗ НАТа - тоесть спец ПО фирмы связывается из внешней (для меня внешней) сети и подключается по ТСП к клиентам в локальной (моей) сети ... большего не нада...
для реализации взял моноволл 1.22 - последний стабильный релиз для генерик писи хардовый дистриб прописал внешний и внутренний адреса и не клиентах прописал геравей - тоесть моноволл - в фаерволе ДАНЫ ВСЕ разрешения для любых портов и протоколов - одинаково как для WAN так и для LAN - и пинги нормально идут и со стороны внешней сети и во внешнюю к IP главного офиса...
однако при просмотре логов фаервола наблюдаю что запросы от сервера (из ван) к клиентам в лан идут и проходят а ОТВЕТЫ клиентов НЕТ!!!! - блочатся правилами???? - перепробовал все что можно ... явно определял маршруты ... и явно разрешал доступ к ВАН адресу для лана ... ничего не получается и не понятно почему...
где грабли???
собственно почему блокируются именно ответы на запросы из ВАНа ???
хотя при инициации связи из лана трафик проходит нормально ...
monowall nht,etwwf хелп по настройке рутера на базе фряхи
Модератор: Саня
monowall nht,etwwf хелп по настройке рутера на базе фряхи
Благодаря деятельности Удаффа неграмотных и ограниченных детей теперь называют не дебилами, а контркультурными писателями.
monowall требуецца хелп по настройке рутера на базе фряхи
досадно что модер был не особо внимателен... хоть бы темы глянул ... в етой ветке тема глюканула... ее надо было грохнуть а не тувторую ... ну да ладно
короче я так и не врубился почему рутер блочит исходящие на запросы из WAN .... могет так и нада ёмаё
седня я проблемку решил путем настройки NAT 1:1 типа один на один ван-лан айпишник
заработало на ура! 8)
интересна у нас на форуме есть хоть один спец по сетям ? ... хоть бы ктонить опытом поделился
короче я так и не врубился почему рутер блочит исходящие на запросы из WAN .... могет так и нада ёмаё
седня я проблемку решил путем настройки NAT 1:1 типа один на один ван-лан айпишник
заработало на ура! 8)
интересна у нас на форуме есть хоть один спец по сетям ? ... хоть бы ктонить опытом поделился
Благодаря деятельности Удаффа неграмотных и ограниченных детей теперь называют не дебилами, а контркультурными писателями.
- Dr_Phoenix
- Учасник дискусій
- Повідомлень: 151
- З нами з: П'ят 15 липня 2005 р. 16:40
- Звідки: Луцьк
модем спутниковый - для меня он апсалютно прозрачен - никакой фильтрации в нем нету впринципе -настраевается самим провом - тоесть я в него влезть не могу
нат на моем рутере который стоит тама чтобы транслировать IP из интранета в локалку и на оборот
впринципе понятно что типичная задача рутеров с фаерволами - ето скрыть локалку от инета и пускать хосты в инет - напротив шобы из инета не влезли злые хацкеры - посему и блочится входящий ван трафик - НО БЛИН МНЕ ТО НАДА БЫЛО ЧТОБЫ НЕ БЛОЧИЛСЯ!!!???? :oops: :evil:
короче мозги чуть не вывихнул - и в инете инфы никакой нету на етот счет ... или не там и не то что нада искал...
нат на моем рутере который стоит тама чтобы транслировать IP из интранета в локалку и на оборот
впринципе понятно что типичная задача рутеров с фаерволами - ето скрыть локалку от инета и пускать хосты в инет - напротив шобы из инета не влезли злые хацкеры - посему и блочится входящий ван трафик - НО БЛИН МНЕ ТО НАДА БЫЛО ЧТОБЫ НЕ БЛОЧИЛСЯ!!!???? :oops: :evil:
короче мозги чуть не вывихнул - и в инете инфы никакой нету на етот счет ... или не там и не то что нада искал...
Благодаря деятельности Удаффа неграмотных и ограниченных детей теперь называют не дебилами, а контркультурными писателями.
- Dr_Phoenix
- Учасник дискусій
- Повідомлень: 151
- З нами з: П'ят 15 липня 2005 р. 16:40
- Звідки: Луцьк
1) Отключить временно файрволл и запустить какой неть сниффер траффика, посмотреть куда і как идут пакетики, с етого и сделаеш ввыводи ...тогда будем думать дальше.
2) подключи к модему тачку с голой виндой и отключеным брендмауером, попингуй, потрейсроутай ДНС сервак прова, шлюз, хосты в инете, поставь какой неть траффик сниффер и посмотри что делается с пакетиками.
3) загрузись с Frenzy-CD, настрой сетевуху которая идет к модему(т.есть прибей ей ИП, укажи шлюз, пропиши ДНС), после етого запусти скрипт /etc/netstart для того чтоб вступили все настройки в силу и все сет. демони рестартанули. После етого пробуй пинговать командой ping(чтоб проверить есть ли связь с какими неть хостами), сделать трассировку на какие неть наружные хосты командой traceroute (чтоб ывидеть где доходит пинг а где нет), запустить монитор трафа командой trafshow -i rl0 чтоб увидеть какие пакети идут от тебя а какие снаружи и т.п.( rl0 - имя сет. интерфейса на котором
будем смотреть траф)
Таким вот способом ты будеш знать где теряются пакеты и кто их не пускает/режет. Пробуй.....
2) подключи к модему тачку с голой виндой и отключеным брендмауером, попингуй, потрейсроутай ДНС сервак прова, шлюз, хосты в инете, поставь какой неть траффик сниффер и посмотри что делается с пакетиками.
3) загрузись с Frenzy-CD, настрой сетевуху которая идет к модему(т.есть прибей ей ИП, укажи шлюз, пропиши ДНС), после етого запусти скрипт /etc/netstart для того чтоб вступили все настройки в силу и все сет. демони рестартанули. После етого пробуй пинговать командой ping(чтоб проверить есть ли связь с какими неть хостами), сделать трассировку на какие неть наружные хосты командой traceroute (чтоб ывидеть где доходит пинг а где нет), запустить монитор трафа командой trafshow -i rl0 чтоб увидеть какие пакети идут от тебя а какие снаружи и т.п.( rl0 - имя сет. интерфейса на котором
будем смотреть траф)
Таким вот способом ты будеш знать где теряются пакеты и кто их не пускает/режет. Пробуй.....
:D :D
ну я ж говорю что парился месяца полтора всумме ...
и первый и второй вариант я пробовал - все работает с каналом проблем нету уверен 100 пудово
именно френзи я не пробовал - есть спец дистриб - m0n0wall называеццо тама все через веб интерфейс
при полном ! отключении встроеного фаэра и с отрубленым встроеным НАТом - ПИНГУЕТСЯ ВСЁ ПРЕКРАСНО... проверить исходящее соединение с удаленной сетью небыло возможности - но я пробовал съэмулировать ВАН одним из компов - всязь была в любом виде (- протоколе и порте)
однако попытки достучаться из ВАН хоста в ЛАН хост при анализе логов етого рутера -чётко видно что проходят запросы из ВАН на лан интерфейс а обратные ответы тупо блочаться - причем видимо подефолту нулевого уровня - типа етот дефолт ни как изменить низзя ----------------- именно етот ФАКТ вызывает недоумение может кто нить чёнить слыщал про такие правила и вапще логику рутеров...
к сожалению видимо дело упирается в необходимость неких спец протоколов маршрутизации - RIP, OSPF, IGRP, BGP-4 :? :? :?
ну я ж говорю что парился месяца полтора всумме ...
и первый и второй вариант я пробовал - все работает с каналом проблем нету уверен 100 пудово
именно френзи я не пробовал - есть спец дистриб - m0n0wall называеццо тама все через веб интерфейс
при полном ! отключении встроеного фаэра и с отрубленым встроеным НАТом - ПИНГУЕТСЯ ВСЁ ПРЕКРАСНО... проверить исходящее соединение с удаленной сетью небыло возможности - но я пробовал съэмулировать ВАН одним из компов - всязь была в любом виде (- протоколе и порте)
однако попытки достучаться из ВАН хоста в ЛАН хост при анализе логов етого рутера -чётко видно что проходят запросы из ВАН на лан интерфейс а обратные ответы тупо блочаться - причем видимо подефолту нулевого уровня - типа етот дефолт ни как изменить низзя ----------------- именно етот ФАКТ вызывает недоумение может кто нить чёнить слыщал про такие правила и вапще логику рутеров...
к сожалению видимо дело упирается в необходимость неких спец протоколов маршрутизации - RIP, OSPF, IGRP, BGP-4 :? :? :?
Благодаря деятельности Удаффа неграмотных и ограниченных детей теперь называют не дебилами, а контркультурными писателями.