firevall vs route ????
 

WIN2003 ENTERPRISE SERVER
сеточка чуть больше полусотни машин, 2 сегмента, DSL модем.

после установки сервис пака и некоторых танцев с бубнами обнаружилось, что между сегментами есть связь. А мне нужна изоляция сегментов.

попытался запустить менеджер маршрутизации.
система ответила, что запустит его не раньше, чем я отключу и запрещу запуск службы брандмауэра.
отключил и запретил. запустилось. показало маршруты. заодно почему- то потух интернет.
После сноса настроек и отключения маршрутизации с последующим запуском службы брандмауэра интернет появился.

Так оно и должно быть???
Обьясните, какой спектр задач решают эти службы и почему происходи взаимоблокировка?

Оба сегмента и DSL на одном сервере? Тогда при отключении маршрутизации и должен вылетать интернет.
Вашу проблему проще всего решить установкой какого-нибудь нормального файрволла. Ну, скажем, той же ISA, или, мб, Kerio. Можно еще правилами IPSec поиграть, оно дешевле, но и сложнее.
Службы брандмауэра нужно отключить (внимание, здесь я могу ошибаться - не помню точно) скорее всего из-за того, что у RRAS есть свой встроенный файрволл.

… разрешите полюбопытствовать, а каким образом пользователи внутренней сети выходят в Интернет без RRAS? чем NAT то делается, или на сервере какой то proxy стоит? или доступ к Интернет имел только сервер ?

в RRAS действительно есть брандмауэр, называющийся Basic Firewall (с большим ударением на первом слове), со стандартной службой брандмауэра RRAS “не совместим” (слова Microsoft’a, никогда не задавался вопросом почему)

возможно скажу всем известные вещи…
после установки RRAS, между непосредственно подключенными к серверу сегментами будет связь типа “routing”, чтобы сделать доступ из внутренней сети в Интернет, нужно настроить NAT, делается это, если не ошибаюсь, в пункте меню “NAT/Простой брандмауэр”, нужно добавить интерфейсы и задать их тип (не составит большого труда найти в Сетке подробные инструкции “в картинках” как всё это сделать)

2 gluon

usergate 2.8


2 komatozo

ставил керило winroute - не смог разобраться. (ваще у меня проблема - не могу пока разобраться в структуре и синтаксисе маршрутизации)

Ну я, конечно, рад, что Вы признались в существовании такой проблемы... Но не расчитываете же Вы, что я расскажу Вам здесь все о маршрутизации и выдам на-гора готовый способ решения Вашей проблемы. Хотя бы с базовой маршрутизацией Вам придется разобраться, иначе Вы так и будете тыкаться в простейшие проблемы.
Кстати, проблема то, как я уже сказал, не в маршрутизации. Вам нужно просто запретить файрволлом траффик между сегментами, при этом не запретив траффик, идущий наружу.

Мне тоже рассказывать об основах маршрутизации в Windows не досуг, но, возможно, к данной ситуации можно подойти и проще, если в локальной сети нет клиентов NAT (информации на это счет так и не было), а между внутренними сегментами маршрутизация вообще не нужна – ну так и выключить маршрутизацию совсем:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Параметр: IPEnableRouter
1 – разрешена
0 – запрещена

2 komatozo
стандартным брандмауэром я этого сделать не могу. он включается для всех интерфейсов.

нет линка на нормальное пособие по маршрутизации? (второй день читаю виндовый хэлп - пока толку мало)

2 dluon
чего-то не так. у меня этот параметр равен "0", а связь между сегментами имеется в наличии.

А я Вам и не предлагаю. Я еще в своем первом посте назвал два варианта. По поводу пособий - попробую что-нибудь найти у себя и залить, хотя почти наверняка найду только на English.

2 komatozo
не хотелось бы пока.... я пробовал прицепить аутпост - почему- то стал ощутимо утормаживать.
на инглише наверное стоит только в крайнем случае, я его читаю не очень хорошо:(

Вообще наверняка в любом нормальном книжном магазине рядом с Вашим домом есть одна из книг:
hxxp://www.ozon.ru/context/detail/id/1375992/
hxxp://www.ozon.ru/context/detail/id/1568922/
hxxp://www.ozon.ru/context/detail/id/1699304/
Все три вполне внятные и доходчивые. Купите одну из них и читайте-тренеруйтесь.

Я ничего не перепутал: при отключенном Usergate, неустановленном RRAS, при IPEnableRouter = 0, межу сетями подключенными к двум разным сетевым картам на сервере, пакеты проходят ?!

Упс... Я тоже как-то этот момент пропустил... Такое возможно, но только при наличии какого-то стороннего софта...

2 all
оопс! Отсохла сетевая карта как устройство, после перезагрузки появилась, но связь сегментов исчезла (вплоть до пингов).
Похоже у меня на сервере глюки.
Не представляю как теперь это все приводить к какой-либо теории:(((

Для того, чтобы привести что-либо к теории нужно эту теорию изучить.
Попробуйте почитать вывод команды netdiag, может что и придумаете =)

2 gluon
однозначно не скажу.
сейчас: usergate включен.
маршрутизация выключена.
файрвол запущен как сервис, но не включен в настройках.
пакеты между серментами не идут, трацерт отваливается по таймауту.

Берите как еще Netmon на вооружение, или какой-нибудь другой сниффер. И нюхайте траффик до полного прояснения ситуации.

2 komatozo
netdiag не отзывается. система такого компонента не знает:)
(у меня win2003ent SP1)

не понял что именно у вас не работает, но то что пинги между локальными сегментами в этом случае не идут - так так и должно быть

2 gluon
до перезагрузки, с этими-же настройками между сегментами шли пинги и происходила раздача ресурсов.
не работал только обзор компьютеров (виделись только рабочие станции в своем сегменте)

Это то и не объяснимо, как без сконфигурированной (судя по вашим словам) маршрутизации между внутренними сетями проходил тот же ping, UG 2.8, по-моему (могу ошибаться), этого делать не умеет, в “стандартных условиях”, если бы сейчас запустить RRAS, или поставить IPEnableRouter = 1, между локальными сегментами связь бы появилась, а в вашей ситуации, даже в этом уже сомневаюсь. Не знаю, правда как на это отреагирует UG, сейчас доступе в Интернет тоже пропал ?

Kotstar
NetDiag ставится в составе Windows Support Tools с компакта Win2003

2 gluon
доступ в интернет есть.
и даже вроде не приновит неприятностей.
(неприятность была очень оригинальной: на модеме соединение типа мост, адрес на сетевой карте модема статический. на остальных интерфейсах сервера тоже статический. модем почему-то пытался сделать динамичческую адресацию и в этом преуспел. а именно: через минут 20 работы интернета менялись динамические адреса на рабочих станциях и машины теряли сеть. вероятно я просто прозевал клиент для сетей майкрософт в свойствах модемного соединения)

2 komatozo
у меня висит commView. неспеша читаю его отчетность и размышляю над результатами.

кстати: чем занимаются адреса 0.0.0.0 255.255.255.255 0.0.0.255 224.0.0.0

и что будет, если я их задавлю файрволом?

0.0.0.0 - все адреса или маршрут по-умолчанию
224.0.0.0 - для мультикаста
0.0.0.255 - не адрес. Как минимум я такого не видел.
Давить их нельзя ни в коем случае - связи не будет. 224.0.0.0 можно, как правило задаваить, но точно так же как правило не имеет смысла.

Да, забыл совсем: 255,255,255,255 - широковещательный адрес.

2 komatozo
обшибся чуток. адрес не 0,0,0,255 а 192.168.0.255
судя по всему это широковещательный запрос в пределах подсети.
только я не могу понять в каких случаях идет запрос 192,168,0,255 а в каких 255,255,255,255 ?

и самое главное, по какому адресу/порту идет запрос на обзор компьютеров в сетевом окружении? (у меня сервант не видит в сетевом окружении машин)

Kotstar
Для сетевого окружения поднимите WINS. Детали надо смотреть в документации и RFC. Честно говоря, лениво, но если совсем невмоготу - посмотрю.