Gateway
Модератор: Модераторы
Armarn » 06 апр 2004, 22:36
люди хелп!
Описание:
Есть циска как Gateway с IP 192.168.0.200 (с доступом с определенных ip), есть Squid с IP 192.168.0.201, все в инет лезут через Squid, gateway по умолчанию у всех с IP 192.168.0.201, те кто вылазиют не через Squid у них IP 192.168.0.200, на серверах тоже gateway 192.168.0.200.
Проблема:
если юзер ставит себе в качестве gateway-я IP адрес любого из серверов, то юзер лезет в инет. Как или что (сервис или там...) на сервере сделать чтоб сервак через себя не пропускал в инет.
Описание:
Есть циска как Gateway с IP 192.168.0.200 (с доступом с определенных ip), есть Squid с IP 192.168.0.201, все в инет лезут через Squid, gateway по умолчанию у всех с IP 192.168.0.201, те кто вылазиют не через Squid у них IP 192.168.0.200, на серверах тоже gateway 192.168.0.200.
Проблема:
если юзер ставит себе в качестве gateway-я IP адрес любого из серверов, то юзер лезет в инет. Как или что (сервис или там...) на сервере сделать чтоб сервак через себя не пропускал в инет.
domovoy » 07 апр 2004, 00:25
Armarn
1. Запретить политиками возможность смены пользователем настроек сетевого интерфейса.
2. Раздавать IP адреса и соответсвенно параметры через DHCP
А вообше странно сервера не должны роутить пользователя, давай ка подробнее что там у тебя делают сервера. Сколько на низ сетевых интерфейсов и какая у них конфигурация.
Такое имхо возможно если на сервере включен форвардинг пакетов на интерфейсе тогда да он будет отправлять их на шлюз, значит нужно смотреть что где включено и зачем.
1. Запретить политиками возможность смены пользователем настроек сетевого интерфейса.
2. Раздавать IP адреса и соответсвенно параметры через DHCP
А вообше странно сервера не должны роутить пользователя, давай ка подробнее что там у тебя делают сервера. Сколько на низ сетевых интерфейсов и какая у них конфигурация.
Такое имхо возможно если на сервере включен форвардинг пакетов на интерфейсе тогда да он будет отправлять их на шлюз, значит нужно смотреть что где включено и зачем.
Правильно заданный вопрос - это уже половина ответа.
Armarn » 08 апр 2004, 23:56
http://forum.ru-board.com/topic.cgi?for ... pic=6398#1
Windows 2000 Advanced Server , Windows 2003 Enterprice Server,
Нечего на них не установлено.
Windows 2000 Proffesional , и Windows XP через себя непропускают
Пробывал с нуль ставить сервер (2000/2003) без всех ненужных сервисов, зараза всеравно через себя пропускает. один интерфеис. один IP.
попробуите сами! там где установлен сервер с выходом в инет, на любом профе укажите как гате адресс сервера.
Речь идет о тех серверах которым нужен инет. Маил сервак, SUS сервер, и так далее...
да и просто если у юзера (по необходимости) сервер вместо профа стоит и гате 192.168.0.200 (см выше.) то он через себя пропускает.
Windows 2000 Advanced Server , Windows 2003 Enterprice Server,
Нечего на них не установлено.
Windows 2000 Proffesional , и Windows XP через себя непропускают
Пробывал с нуль ставить сервер (2000/2003) без всех ненужных сервисов, зараза всеравно через себя пропускает. один интерфеис. один IP.
попробуите сами! там где установлен сервер с выходом в инет, на любом профе укажите как гате адресс сервера.
Речь идет о тех серверах которым нужен инет. Маил сервак, SUS сервер, и так далее...
да и просто если у юзера (по необходимости) сервер вместо профа стоит и гате 192.168.0.200 (см выше.) то он через себя пропускает.
domovoy » 09 апр 2004, 10:30
Armarn
Попробывал
....лядство (пардон за выражение) он действительно выпускает пользователей в инет.
Первое что пришло в голову это вынос инет серверов в отдельную подсеть, но это значет дополнительное оборудование и т.д.
Ладно попробую покопаться в настройках сервера вопрос интересный поднимаю и закрепляю тему.
Попробывал
....лядство (пардон за выражение) он действительно выпускает пользователей в инет.
Первое что пришло в голову это вынос инет серверов в отдельную подсеть, но это значет дополнительное оборудование и т.д.
Ладно попробую покопаться в настройках сервера вопрос интересный поднимаю и закрепляю тему.
Правильно заданный вопрос - это уже половина ответа.
Harry33 » 09 апр 2004, 10:42
Armarn
Рассказывай что у тебя там за циска и какая еще есть активка, будем спасать ситуевину
Рассказывай что у тебя там за циска и какая еще есть активка, будем спасать ситуевину
Знания, которые нельзя применить - бесполезны
Harry33 » 09 апр 2004, 10:47
И еще вопрос, Зачем сервера напрямую в инет выпускать? Через squid никак?
Знания, которые нельзя применить - бесполезны
- Stratofortress
- хм...
-
- Сообщения: 611
- Зарегистрирован: 07 апр 2004, 17:10
- Откуда: ссср
Stratofortress » 09 апр 2004, 11:44
| Цитата (Armarn @ 6.04.2004 - 21:36) | ||
| если юзер ставит себе в качестве gateway-я IP адрес любого из серверов, то юзер лезет в инет. Как или что (сервис или там...) на сервере сделать чтоб сервак через себя не пропускал в инет.
[/quote] route print сюда. с серверов этих — в том числе. как именно "юзер лезет в инет"? логи squid читали? нет времени разбираться — наймите того, кто знает.
Stratofortress
Это не поможет Юзер лезет элементарно GW у юзера - сервер1 GW у сервера1 - Cisco GW у Cisco - IP провайдера на Cisco скорее всего поднят NAT дополнительных ограничений не выставлено. Вот результат. Решение проблемы элементарное - ВСЕ (и все сервера в том числе) хосты в инет через Squid NAT на Cisco опустить Знания, которые нельзя применить - бесполезны
Stratofortress
Да на счет ограничений я погорячился, они все равно не помогут, к циске обращается разрешенный IP Знания, которые нельзя применить - бесполезны
|