Sikvdila Знаешь а вот на модели этой ситуации я закрыл на шлюзе доступ юзеру по его IP а не все всем кроме кроме сервера и юзера не пустило.
Может все таки поробывать на cisco прописать конкретные запреты на адреса пользователей.
и порядок следования правил был сначала запреты пользователям а потом разрешения серверу.
Правильно заданный вопрос - это уже половина ответа.
Sikvdila Знаешь а вот на модели этой ситуации я закрыл на шлюзе доступ юзеру по его IP а не все всем кроме кроме сервера и юзера не пустило.
Может все таки поробывать на cisco прописать конкретные запреты на адреса пользователей.
и порядок следования правил был сначала запреты пользователям а потом разрешения серверу.
[/quote]
У Sikvdila на cisco все правильно настроенно, и порядок следования менять нет смысла.
Тут другой вопрос:
Sikvdila
Цитата
a vot esli oni ukazut address servera kak gw, togda oni vixodiat v inet
pochemi ix propuskaet server, vot v etom problema
cisco zdes ne prichiom
[/quote]
Что значат твои слова по поводу "их пускает сервер"? - это как понимать, поясни.
На мой взгляд вариант может быть такой - раз только W2K может выходить в инет, значит на W2K запущено "нечто" что делает PAT. А иначе просто чудеса творятся - ну не может простой маршрутизатор(даже на Win) изменять IP в пакетах данных(а потом возвращать их обратно) . Поэтому слова "от имени сервера" звучат просто глупо.
PavelKHTW Ну а у меня в тесте адреса были реальные, поэтому ниакаком Nat речи быть не могло.
Да и тут тоже не может быть Nat, так как Nat преобразует приватные адреса в реальные (скажем для простоты так) но если сервер их преобразует, но cicso имея на внутреннем интерфейсе приватный адрес их во вне в жизнь не выпустит.
Правильно заданный вопрос - это уже половина ответа.
Вот прочёл всё и вот вопрос такой:
Кто реально проверял преведеный пример? (Сервер с выходом в инет и пользавателя с гайтом сервера.)
Я тутто было усомнился в себе и в серверах, НО!!!!! и УУУШШООО раз НО!!!!! неоднократно проверял все сервисы на серверах!!! RAS NAT VPN и потобных я не наодном сервере невстретил!!!
...сомнения быстро пропало
Так в чемже дело?
Нужен роте принт? нужен траис? все что угодно. Попарядку.
...тут тема уж сильно разбежалась
вы не согланы господа?
я проверял. только роутер не сиска.
схема! ---internet---switch1------router-----siwth2
......................|..............................|......\
....................dmz...........................w2ks....w2kws
router=192.168.0.254/24
w2ks=192.168.0.253/24 gw=192.168.0.254
--работает исключительно файловым сервером. погашено почти всё…
w2kws=192.168.0.252/24 gw=неважно, что. 0. с w2kws ping www.networkdoc.ruНЕ идёт!
1. запускаеи на w2ks rras 2. прописываем gw на w2kws 192.168.0.253
3. ping www.networkdoc.ruидёт!
--после пинга в таблице маршрутизации появляется строка типа
ipNETWORKDOC.RU mask router 4. гасим на w2ks rras --пинг продолжает идти, поскольку п3.
5. reboot w2kws
6. с w2kws ping www.networkdoc.ruНЕ идёт!
нет времени разбираться — наймите того, кто знает.
трасировка первым хопом показывает сервер
после перезагрузки первый хопом становится winrout
на винроуте прописываем правило
запретить передачу пакетов с xxx.xxx.xxx.195
доступа в инет нет.
Хоть сервер и роутит клиента при конкретном указании запрета на шлюзе клиент никуда ни может попасть.
Как понимаете раз адреса в сети реальные то никаким NAT там вообще не пахнет.
Странное поведение маршрута до и посте перезагрузки клиента, но запрет на шлюзе действует однозначно.
Правильно заданный вопрос - это уже половина ответа.
router=192.168.0.254/24
w2ks=192.168.0.253/24 gw=192.168.0.254
--работает исключительно файловым сервером. погашено почти всё…
w2kws=192.168.0.252/24 gw=неважно, что. ###(вот тутто важно! 253 гате надобыло тестить)### 0. с w2kws ping www.networkdoc.ruНЕ идёт!
1. запускаеи на w2ks rras###(зачем Вообше его в двнном случае запускать???!!!)### 2. прописываем gw на w2kws 192.168.0.253 ###(Это надобыло до поднятия RRAS дклать!!!)### 3. ping www.networkdoc.ruидёт! ###ясное дело что идет! RRAS то запушен )### --после пинга в таблице маршрутизации появляется строка типа
ipNETWORKDOC.RU mask router 4. гасим на w2ks rras --пинг продолжает идти, поскольку п3.
5. reboot w2kws
6. с w2kws ping www.networkdoc.ruНЕ идёт! ###(Ставь 253 и пробуй сначала)### [/quote]
...а почему на профе неважно кокой гате???? вот об этом и идет речь! что юзер себе gw ставит сервера! 192.168.0.252/24 252 это вообше что???? другое дело еслиб самого начала gw на профе былбы сервака 192.168.0.253/24 н6а серваке без RRAS-a!!!
этот топик уже утомил… или это такое изощрённое издевательство?
Цитата
на w2kws ставлю gw=192.168.0.253 (server! rras опущен)
ping www.networkdoc.ru Обмен пакетами с www.networkdoc.ru [80.92.200.233] по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 80.92.200.233: число байт=32 время=220мс TTL=249
Ответ от 80.92.200.233: число байт=32 время=50мс TTL=249
Ответ от 80.92.200.233: число байт=32 время=260мс TTL=249
Ответ от 80.92.200.233: число байт=32 время=221мс TTL=249
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
[/quote]
что ещё повторить? по-моему, всё очевидно. красным в таблице маршрутизации указано то, что добавляется туда как бы само после пинга. сиска у вас дырявая!
2PavelKHTW извините, что сразу с вами не согласился (промолчал).
нет времени разбираться — наймите того, кто знает.
Stratofortress » 15 апр 2004, 16:48 
настройка acl на cisco задачка интереснейшая.
