Помогите, плз. Открыть порт. Где ещё роме файервола и сквайда порты открываютсь? Дело в том что один и тот же порт и на файерволе и на сквайде открыл, но сервер по-прежнему не пускает програмку через определённый порт... У меня уже скоро башня поедет.
|
Какой сервер и какой порт ?
|
Protsko
А уверены, что не пропускает? Может (если речь идёт о выходе в инет) просто при выходе из "серой" зоны в "белую" трансляции нет? |
Теперь уже не уверен ни в чём. Порт 1950. А сервер Freebsd 5.2.
|
Protsko
Чтобы точно в этом убедиться, "послушайте" интерфейсы (как внутренний, так и внешний, но последний - в первую очередь) при помощи tcpdump'а и посмотрите, в каком виде, а главное - с каким адресом источника, уходят пакеты к цели. Если траффик в сети солидный, то лучше это делать в "тихое" время суток, а иначе трубецкой будет - не разглядите ничего за пробегающими строчками :). Да, кстати, а посылка идёт от "серого" адреса или, таки, от "белого". |
Вот кусочек дампа
sovgavan# tcpdump | more tcpdump: listening on fxp0 #Это внешний интерфейс 17:02:00.095807 sovgavan.merlin.net.ua.49238 > ns.merlin.net.ua.domain: 3017 5+ A? mforex.ukrsotsbank.com. (40) # А ВОТ ИМЕННО ЭТОТ ФОРЕКС ОТКАЗЫВАЕТСЯ РАБОТАТЬ 17:02:00.120179 ns.merlin.net.ua.domain > sovgavan.merlin.net.ua.49238: 3017 5 1/2/2 A[|domain] 17:02:00.120576 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: S 26712065 56:2671206556(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,timestamp 8779520 0 > (DF) 17:02:00.166456 212.109.35.28.http > sovgavan.merlin.net.ua.54090: S 36123043 4:361230434(0) ack 2671206557 win 33304 <nop,nop,timestamp 3663038778 8779520 ,nop,wscale 1,mss 1460> (DF) 17:02:00.166629 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: . ack 1 wi n 33304 <nop,nop,timestamp 8779525 3663038778> (DF) 17:02:00.167042 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: P 1:431(43 0) ack 1 win 33304 <nop,nop,timestamp 8779525 3663038778> (DF) 17:02:00.249266 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 431 win 33304 <nop,nop,timestamp 3663038785 8779525> (DF) 17:02:00.277633 212.109.35.28.http > sovgavan.merlin.net.ua.54090: P 1:233(23 2) ack 431 win 33304 <nop,nop,timestamp 3663038788 8779525> (DF) 17:02:00.278988 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: F 431:431( 0) ack 233 win 33304 <nop,nop,timestamp 8779536 3663038788> (DF) 17:02:00.280720 212.109.35.28.http > sovgavan.merlin.net.ua.54090: F 233:233( 0) ack 431 win 33304 <nop,nop,timestamp 3663038788 8779525> (DF) 17:02:00.280874 sovgavan.merlin.net.ua.54090 > 212.109.35.28.http: F 431:431( 0) ack 234 win 33304 <nop,nop,timestamp 8779536 3663038788> (DF) 17:02:00.338683 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 432 win 33304 <nop,nop,timestamp 3663038795 8779536> (DF) 17:02:00.342023 212.109.35.28.http > sovgavan.merlin.net.ua.54090: . ack 432 win 33304 <nop,nop,timestamp 3663038795 8779536> (DF) 17:02:00.364697 sovgavan.merlin.net.ua.49238 > ns.merlin.net.ua.domain: 3017 6+ A? trade.ukrsotsbank.com. (39) 17:02:00.393467 ns.merlin.net.ua.domain > sovgavan.merlin.net.ua.49238: 3017 |
Хм, связь есть... но почему-то они (и о чём-то) договориться не могут ...
И тут у меня закрались некоторые подозрения ... может система тут не причём? Вот, что на сайте Укрсоцбанка было написано: Цитата:
|
Я не могу понять где собака зарыта, но вчера машине прописал следующие правила: основной шлюз - айпи моего маршрутизатора, предпочитаемый и вторичный ДНС сервер - сервер моего провайдера. Отключил использование прокси-сервера. И представте - всё заработало. Но это ведь не выход. Во-первых: правила файервола на эту машину не действуют. Во-вторых: зачем машине обращаться к ДНС серверу провайдера, если это наша машина и у неё есть собственный ДНС сервер.
Может поможете? :( |
Считать меня Protsko. Вообщем я предполагаю, что это всё из-за того, что ДНС настроен не маршрутизаторе по Фри, а на вин2000. Может в этом загвоздка?
|
Цитата:
|
Значит нужно перенастраивать...:(
|
А можно конкретному пользователю закрыть конкретный сайт?
|
Guest
можно - через squid, а лучше squid+squidguard. Но стоит иметь в виду, что сейчас развивается такая вещь, как httptunneling, позволяющая заворачивать tcp/ip - пакеты в http-запросы. Соответственно, все может превратиться в бесконечную погоню за пользователем и воспитением у него хакерских наклонностей. |
Так, не оффтопим.
Protsko А попробуйтей настроиться на свой ДНС-сервер и по имени пингануть что-то снаружи... Коль в вас болтом запустят - ойте свой ДНС. Форвардеров настройте в ДНСе. Как в Винде делается - не знаю ... |
Barracuda Интересная мысль. Но сейчас я имею такую схему:
_______ ____________________ __________ ____ | | | | | | | | |Локалка |--- | маршрутизатор FreeBSD|--- | Провайдер |-- |Инет| |_______| |____________________| |_________| |____| ТУт есть Он настроен на их ДНС Тут, есте- Наш ДНС ственно сервер свой ДНС Сервер и маршрутизатор Ситуция такая -За локалкой нет ничего -за провом есть инет -локалка настраивается на маршрутизатор, который перенаправляет в свою очередь пакеты маршрутизатору прова - маршрутизатор прова направляет их в инет. Всё выглядит не плохо, если пользовать прокси -сервер. Все машины остаются в нашем домене. С другой стороны программы отказываются (клиент-банки все) работать через прокси. А вот если им настроить ДНС сервер Прова нашего и при етом указать основной шлюз наш маршрутизатор - всё работает на "УрА". Но это означает, что мы используем маршрутизатор, не для того что б пользоваться интернетом, а для того что б подключиться к ДНС серверу Нашего провайдера. Вопрос: Зачем Для чего собственный ДНС, если половина компов подключена к нему, а половина к ДНС провайдера? Теперь попробуем перенастроить ДНС на маршрутизаторе с Прова на нас. Тогда мы получим в нашем Домене ещё одну машину и потеряем маршрутизатор. Или я не прав? С другой стороны. Это реально - перенастроить его на нас, но при этом прийдёться ещё что то менять, а вот что? Я могу только догадываться, что таблицу маршрутизации прийдётся в корень изменить и ещё что - то в этом духе. Может кто делал это реально? И ещё есть предположение, что если сделать такие настройки, то реально пров из своего Домена потеряет одну машину :-). И что б всё заработало - нужно будет ещё и ему кое-какие настройки сделать... А ему это ух не понравится ;-)) |
Protsko
честно говоря, не вижу ничего страшного в том, чтобы, открыв на маршрутизаторе FreeBSD 53 порт, пользоваться DNS-ом провайдера. Если это почему-то не вариант (а можно узнать почему?), то ставьте себе собственный DNS, который будет, например, брать верхние зоны от провайдера, а внутренняя зона будет прописанна для ваших внутренних машин (и никого снаружи касаться не будет). Тут возможны всякие варианты, но для того чтобы с ними разбираться нужно четко определиться с задачами :) |
Цитата:
Да потому, что если у них прописан ДНС провайдера, то правила файервола на них не действуют. Добавлено: Цитата:
Так ДНС у нас стоит, а как научить его брать эти самые верхние зоны от провайдера? Добавлено: Вообщем проблему я решил. В настройках машин клиентов прописал наш ДНС, а основной шлюз поставил айпишник нашего маршрутизатора. Вот только не дегче от этого стало. Во-первых использование прокси-сервера на клиентских машинах нужно отключить и тогда клиент-банк заработает. А вот что б в инете полазить, то нужно обратно прокси включить. Вот так прийдётся пользователям каждый раз. Но это ведь не выход. Во-вторых, машины, на которых порписан основной шлюз, в сеть начали логиниться ровно по 20 минут. Можете представить. Так что лучше б я этого не видел и врагам не пожелаю.... :durak: |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
1. создаётся для него отдельное диал-ап подключение (их номер телефона, их домен и т.п.) 2. Через интернет. В самой программе есть возможность выбрать тип подключения. Я выбираю его подключение и он по диал-апу своему колбасит. И есть ещё один пункт "Любое доступное". Это означает, что даже если я простым диалапом подключюсь к инету, а у него будет стоять эта настройка он его на лету поймает и пойдёт в банк по указанному в настройках программы адресу банковского сервера. Если же это не диал-ап, то пословам разработчиков этого клятого клиент-банка, при установке пункта "любое доступное" он автоматом определяет настройки прокси и вперёд. Это всё работает, но не на том уровне. Если ДНС моего прова указан, то и клиент-банк работает и инет без явного указания прокси. Стоит только поставить наш ДНС. Всё перестаёт работать. Но как только прокси включить - инет работает, а клиент-банк - посылает. Цитата:
Цитата:
|
Нихрена не понял... Причём тут файрвол до машин с установленным, в качестве ДНС-сервера, ДНС-сервером провайдера...
На роутере строите ДНС сервер, у которого, в качестве форвардера (есть такая фича полезная), стоит сервер провайера. В чём прелесть фичи - читайте матчасть. У меня именно так всё и работает. В качестве основного сервера ДНС на клиентах прописан наш сервер (он же роутер). Если (сервер) он не знает чей-то адрес, то он лезет в инет сам, а не клиент этим занимается... А клиенту вообще надо отрубить выход по днс-запросам в инет - ибо нефиг лишний (хоть и копеечный) траффик генерить... этого, чтобы не быть голословным, попробуйте по внешнему имени кого-нит пингануть (тот же yandex.ru - почему-то истрически сложилось так, что первым пингую его при проверке работы ДНС) и послушайте траффик при этом (на роутере, ессно). Если болт, то займитесь настройкой ДНС-сервера... Ну а если пингуется копайте глубже... То, что сквид резольвит имена - это далеко не факт корректной работы ДНС и, тем более, не факт корректной настройки сети в целом. |
BarracudaСпасибо за совет - буду пробовать.
|
...читайте матчасть...
Лучший совет, прислушайся к нему, еще handbook от корки до корки и большая часть вопросов отпадет сама собой... Добавлено: В правила форума нужно вписать жирными буквами, не прочитал handbook иди читай :) |
Вообщем, коллеги, одна надежда только на Вас. Проблему, кажется я решил, но ещё одна появилась.
Вообщем так как маршрутизатор наш настроен на домен нашего провайдера, а у нас свой домен, я решил поставить основной шлюз наш сервер, а за ним указал шлюз нашего маршрутизатора. Вообщем всё работает и клиент-банки и инет, и файервол всех хавает. Машины грузятся не по 30 минут, а нормально - как положенно. Но вся беда в том, что некоторые машини перестали пинговать маршрутизатор, а он в свою очередь их. И я понять не могу, то ли это из-за моих настроек, то ли ночью что-то случилось. Но в день, когда я настроил - всё работало. Я запустил на копирование фильмы по сетке, а когда пришёл, обнаружил ошибку копирования - "Даное сетевое имя больше не доступно". Когда началь всё копировать заново - то без проблем копирует. Но проблема с пингом не решена. Может чего то подскажете? |
Пинг по ip адресу или по сетевому имени машины ?
|
именно по ай-пи адресу.
|
А что скажет traceroute?
|
# traceroute 192.168.101.1
traceroute to 192.168.101.1 (192.168.101.1), 64 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * И т.д. |
А что просто route ? :)
|
Цитата:
|
Да ни чем не отличаются. Всё было отлично вечером, а утром полетело. Ошибка происходит случайным образом....
|
Цитата:
|
Время: 14:40. |
Время: 14:40.
© OSzone.net 2001-