Stratofortress Прут веришь нет, я тоже пробывал. тут имхо зависит от того как сконфигурен свич, и как серверу дан доступ в инет, если http для него открыт мимо прокси то прут.
Видимо даже при одном интрефейсе сервер перенаправляет пакеты на прописанный у него шлюз.
Armarn Сделай сюда tracert с клиента и подставленном серваке
Правильно заданный вопрос - это уже половина ответа.
Описание:
Есть циска как Gateway с IP 192.168.0.200 (с доступом с определенных ip), есть Squid с IP 192.168.0.201, все в инет лезут через Squid, gateway по умолчанию у всех с IP 192.168.0.201, те кто вылазиют не через Squid у них IP 192.168.0.200, на серверах тоже gateway 192.168.0.200.
Проблема:
если юзер ставит себе в качестве gateway-я IP адрес любого из серверов, то юзер лезет в инет. Как или что (сервис или там...) на сервере сделать чтоб сервак через себя не пропускал в инет.
[/quote]
Если инет идет только через cisco, в том числе через нее ходит и squid - проблема однозначно в настройке cisco - конфиг в студию(часть с acl доступа).
У вас проблема следующая - клиенты могут ходить в инет по причине того, что на cisco настроен dynamicNAT, или еще с PAT в придачу и запрещений на использование сервиса нет . Поэтому любой клиент, который ставит себе в качестве GW cisco может попасть в инет свободно, также туда могут попасть и те которые ставят GW IP серверов(на серверах включена маршрутизация). Идеальным решением будет правильная настройка acl в cisco, т.е. пускаем только IP сквида и IP тех, кому дозволенно ходить минуя прокси. Отключение маршрутизации на серверах вас не спасет
PavelKHTW Так серваку как раз то и дозволено А вот пользователям запрещено, но (читай внимательно начало поста) если он ставит как шлюз сервер то проходит за счет него.
Вопрос где на сервере выключит маршрутизацию интерфейс то один.
В реестре как посмотрели IPEnableRouter стоит в 0 тоеть роутинг типа выключен.
Правильно заданный вопрос - это уже половина ответа.
PavelKHTW Так серваку как раз то и дозволено А вот пользователям запрещено, но (читай внимательно начало поста) если он ставит как шлюз сервер то проходит за счет него.
[/quote]
Уважаемый domovoy - чудес ведь не бывает, верно? Вы мне объясните как за счет только одной маршрутизации ваши клиенты могут прорваться через acl cisco? У вас ведь на сервере нет NAT? А так как его нет, то пакеты от ваших пользователей просто перенаправляются на def GW вашего сервера(а у него я так понял таковым есть cisco) и естественно IP адрес клиента измениться не может.Тут так и не дождались что же выдаст tracert например на www.networkdoc.ru с клиентской машины и с GW в виде вашего сервера?
В пользу моего предположения говорит еще и то что
Armarn:
да и просто если у юзера (по необходимости) сервер вместо профа стоит и гате 192.168.0.200 (см выше.) то он через себя пропускает. - IP 192.168.0.200 - это Cisco >>>проблема в настройках Cisco.
так оставим циско вообще впокое!!!! усли я вместо циско буду пускать сервера через там незнаю модем (т.е. сам сервер будет выполнять роль выходной точки в инет. Допустим с IP 192.168.0.205. если я на своей тествой машине с IP 192.168.0.100 и с гатевайом 192.168.0.205 если юзер вместо IP скуида (192.168.0.201) укаже в качестве гатевая мой IP 192.168.0.100 то ситуация таже! Нодо запретит виндовой машине руутить пакеты и все! а скуид и циско здесь просто для наглядности и для примера.
Циско и Скуид здесь непричем!
да кстати route print у клиента тотже!!! он то себе в гате пишет IP сервера!!! в Если просмотреть логи то в логах видно что сервер оброшяется к тому или иному ресурсу а юзера там вообше и в помине нет!
Так и понели что когда за машиной некого нет а она долбится на www в логах соурс серверной машины за которой некто несидит, тот чеи пакеты роутится неслова!. Пожже и выяснилось в чем было дело!
Вот вам траис с машины юзера с измененым гатвайом!
V:\TLS>ipconfig
Tracing route to online.ge [213.157.196.130]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.0.97 (on sami server!!!!!)
2 6 ms 6 ms 6 ms intellect-lgw.iberiapac.ge [212.58.99.245
3 6 ms 6 ms 7 ms 212.58.110.73
4 7 ms 6 ms 6 ms 212.58.110.65
5 7 ms 6 ms 6 ms zidane.iberiapac.ge [212.58.96.33]
6 7 ms 7 ms 7 ms gol-ib-gw.iberiapac.ge [212.58.99.70]
7 7 ms 7 ms 7 ms 213.157.211.2
8 7 ms 7 ms 7 ms 213.157.211.206
9 8 ms 7 ms 7 ms ns.online.ge [213.157.196.130]
Trace complete.
vsio posle 1 houpa uje provaidera storona.
Stratofortress » 12 апр 2004, 15:20 
