Знатоки подскажите пожалуйста что в W2008R2 кроме брандмауэра может блокировать входящие соединения?

Или как можно отследить типа (tcpdump )

Знатоки подскажите пожалуйста что в W2008R2 кроме брандмауэра может блокировать входящие соединения?
Или как можно отследить типа (tcpdump ) »
На сколько я знаю ничего, если только вы весь firewall отключили а не какую-то его часть. Но возможно там стоит что-то ещё на сервере.
TCPDump, на сколько мне известно в Windows нету только старонними ПО например wireshark.

А какие соединения блокируются, что не работает?

Антивирусов и фаирволов на серваке нет.
Блокируются все порты на интерфейсе который смотрит в мир.
Порты блокируются спустя 5-20 минут после перезагрузки.
Такое впечатление, что либо кто то запускает программу какую то которая вредит типа вируса либо она сама активируется
В это время под правами админа никого нет на сервере.

у меня была ситуация, когда NAP сервер в связке с касперским блокировал все интерфейсы и даже localhost

Блокируются все порты на интерфейсе который смотрит в мир. »
Я так понимаю что это пограничный сервер? а как реализованна защита и роутинг?
прости но с таким явлением я не знаком. Но в любом случае мало информации что и как реализовано. ведь это может быть как глюк самого интерфейса (железки) так и проблема какой-то настройки, а что стоит и как не ясно

к »

Такая схема она временная, защиты нет никакой кроме отсутствия прав у пользователей. А какой роутинг??? default gw и и сетка на внутреннем интерфейсе + nat.
Просто если я ставлю этот сервак за другой (пограничный) то получается что у него работает один интерфейс внутренний и тогда ложиться он. А если его ставлю вторым интерфейсом за сервер смотрящий в мир то соответственно ложиться второй интерфейс.

Короче всегда ложиться тот интерфейс который смотрит в сторону мира или на прямую в мир ((( вот такая незадача

Уже мысли винду переставить.
Если б моя воля так я бы вообще отказался от винды на серьезных серверах, но 1С-ник законючил ((((

Да забыл сказать: во время такой аномалии ICMP работает до него и по localhost работает

Имею предположение, что когда бухгалтер запускает прогу Амикон про (сбербанковскую) то создается впн тоннель и добавляются маршруты и когда она ее отключает то маршруты остаются висеть, что приводит к неработоспособности интерфейса

как в винде посмотреть полные маршруты?

Имею предположение, что когда бухгалтер запускает прогу Амикон про (сбербанковскую) то создается впн тоннель и добавляются маршруты и когда она ее отключает то маршруты остаются висеть »
скорее всего дело не в маршрутах, а в том что програ блокирует "внешний" трафик. Внешний - этот тот, который не ВПН.
У меня такая же штутка с циско-впн клиентом. Правда как-то контроллер домена один из двух доступен.

ну а маршруты посмотреть так:
route print

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\lda>route PRINT -4
===========================================================================
Список интерфейсов
12...00 1e 67 10 fa cd ......Сетевое подключение Intel(R) 82574L Gigabit
11...00 1e 67 10 fa cc ......Сетевое подключение Intel(R) 82567LM-2 Gigabit
1...........................Software Loopback Interface 1
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
18...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
19...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 109.202.31.1 109.202.31.5 276
109.202.31.0 255.255.255.128 On-link 109.202.31.5 276
109.202.31.5 255.255.255.255 On-link 109.202.31.5 276
109.202.31.127 255.255.255.255 On-link 109.202.31.5 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.1 276
192.168.1.1 255.255.255.255 On-link 192.168.1.1 276
192.168.1.255 255.255.255.255 On-link 192.168.1.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 109.202.31.5 276
224.0.0.0 240.0.0.0 On-link 192.168.1.1 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 109.202.31.5 276
255.255.255.255 255.255.255.255 On-link 192.168.1.1 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 109.202.31.1 По умолчанию
===========================================================================

C:\Users\lda>

filin99, при включенном Amicon любой другой внешний трафик, на той машине где он запущен, отваливается напрочь. Многие другие банк-клиенты работают точно также. Это не баг, это фича (с) Причем описанная в доках. На работу пограничных серверов не влияет, если на них же не запускать.

http://www.microsoft.com/en-us/download/details.aspx?id=4865

Имею предположение, что когда бухгалтер запускает прогу Амикон про (сбербанковскую) то создается впн тоннель и добавляются маршруты и когда она ее отключает то маршруты остаются висеть, что приводит к неработоспособности интерфейса »
хех с этого и надо было начинать, если это запускается на пограничном сервере (хотя обычно это должно происходить на клиентской машине, но топология сети штука творчиская и каждый решает сам кто, что и откудого будет делать).
Судя по раутингку всё нормально. Вопрос когда ты вытаскивал эту таблицу маршрутов, был интернет? кто такой этот 109.202.31.1? это шлюз провайдера?

Да это шлюз провайдера. Схема сети такая: 1 сервер на W2008R2 (терминальный сервер с 1С) --- свитч ---- к свитчу тонкие клиенты

На втором интерфейсе Сервера Интернет.

Теперь сделаю так Internet----> |первый интерфейс| Server (Linux/ Iptebles/ Dhcp/NAT/ Tftpd/) |второй интерфейс| ----> свитч и вниз терминальный сервер с 1С и на этом же свитче тонкие клиенты и принтеры.

Да в общем проблема была именно в Амиконе (впн тунель до банка). Бухгалтерша нарушала должностную инструкцию и держала весь день включенный тонель и запущенный клиент банк, порой даже на ночь забывала !!!! Уж не говоря о том, что нужно ключ вытаскивать

Теперь вопрос: банк клиент находится на сервере как мне сделать чтоб не создавалась такая коллизия?
У меня только одна мысль приходит, vmware добавить на него и банк клиент перенести на варю

filin99, неправильная у вас мысль.

Единственный приемлемый вариант с банк-клиентом, это отдельная машина за которой будет работать только один аккредитованный бухгалтер (который и будет отвечать материально за свою забывчивость и прочее... вроде последствий тыкания в красивые баннеры на развлекательных сайтах). Держать подобное ПО на общем сервере - всё равно что положить пачку бланков с подписью директора на проходной и печать предприятия рядом. У вас руководство совсем ни о чем что-ли, такие номера откалывать с финансами?

http://makcmar.ru/kak-predotvratit-vzlom-klent-banka/ - полагаю будет полезно показать руководству. С учетом того, что до 600 т.р через банк-клиент можно переводить без письменного подтверждения.

http://makcmar.ru/kak-predotvratit-vzlom-klent-banka/ »
Для кражи логинов, паролей и ключей использовали вирус. Он действует так: сотрудник компании, гуляя по интернету
вот по этому там и ВПН, что бы не гулял нигде.