Връзка между 2 и повече мрежи през WinRoute+схема

[Geo_BG]

Имам сериозен проблем с връзките между домашните компютри заради особената конфигурация. Получавам интернет през Access Point, а компютрите са свързани съгласно приложената схема:







Server е интернет-сървър, оборудван с WinRoute 5.1.10. Работи под Windows 2000 Pro, но няма проблем да се пусне под ХР. PC1 и PC2 работят под Windows 98 SE.



Желанието е двата компютъра с реални IP адреси да могат да ползват големия HDD на сървъра без да се нарушава сигурността, т.е. връзката с тях да се обработва от WinRoute. Опитах се да задавам какви ли не правила за трафиците, но не успях. Резултат има само ако разреша шерване на мрежовата карта на сървъра, която е свързана с Интернет - в този случай обаче цялата сигурност пропада...



С риск да се повторя - идеята е РС1 и РС2 да могат да четат и записват от/на диска на сървъра. Още по-добре би било, ако работните станции от Area 1 и PC-тата от Area 2 могат взаимно да се "виждат".



Ще приeма с благодарност всеки съвет или идея по въпроса. Предварително благодаря!



Geo

[Dark Skywalker]

Май е най-добре да дадеш схема, че така нещата ми изглеждат малко объркани...



Edit: Двупосочна връзка ли искаш да имаш, или е достатъчно другите да свалят от твоя сървър?

[Ghost]

Geo_BG, не знам с връзките, но с изразните средства със сгурност имаш проблем.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">

след сървъра са собствените ми компютри, които също минават през Switch (Switch_2). Към Switch_1 (преди сървъра) през още един Switch (Switch_3) са свързани компютрите на синовете ми,

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



За да стане ясно дай графична схема или опиши всяко едно устройство и всичките му връзки други устройства.

[DeathKnight]

Тая схема дето е на твоя PC вземи я качи някъде на free сървър или ми я прати по емайла да я кача аз. Така никой не може да я види...

[Geo_BG]

DeathKnight, благодаря за предупреждението! Малко преди това видях, че схемата наистина не се вижда от нета и я качих на моя сървър (нямам много опит с работа във форумите). Като се има предвид, че на сървъра му предстоят доста изключвания за проби - последвах съвета ти и качих схемата на free-сървър. Сега трябва да се вижда по всяко време.



P.S. След разговор по телефона реших да дам следните пояснения:



- На сървъра има две мрежови карти. Едната (Internet) е свързана към доставчика ми на интернет и за нея е изключено шерването на файлове. Втората карта (LAN) е за вътрешната мрежа и за пробите е с IP-адрес 192.168.0.1 - за нея е разрешено шерването на файлове.



- Guest-акаунта е разрешен.



- В Traffic Policy на WinRoute са добавени 2 правила с цел да се осъществи връзка към външния за мрежата компютър с IP 222.222.22.22:







- След въвеждането на правилата компютър 222.222.22.22 се вижда от сървъра и може да се прави обмен на файлове (но не се вижда от другите машини в мрежата на сървъра). Обратното не се получава по никакъв начин - компютър 222.222.22.22 не може да види шернатите папки на сървъра.



- Сървъра може да вижда другия компютър и само с едно правило - ако за Source се зададе Internet, а за Destination - 222.222.22.22. Правилата са разширени заради опитите да се реализира обратната връзка.



- Причината очевидно не е в някаква несъвместимост между NT-машините и тези с Windows 98 - ако се разреши шерване на файлове на интернетската карта на сървъра, компютър 222.222.22.22 започва да "вижда" шернатите папки на сървъра.



Това е горе-долу постановката. Ако някой може - да помогне !!!



Geo

[Ghost]

Ако правилно съм разбрал целта на занятието, проблемът се състои в това, че "workstations" зад "switch2" имат достъп до интернет чрез NAT, на който си задал за default gateway IP Address-а на твоя ISP.

Трябва да добавиш допълнителни правила в рутинга, които да указват, че пътя до "PC1" и "PC2" е директно към тях, а не през default route. Как точно се прави това и дали изобшо е възможно с WinRoute, нямам представа. Aко сървъра беше с Linux, лесна работа...

[Ghost]

Още нещо - не знам как работи WinRoute, но ще напомня, че правилата за маршрутизация към "PC1" и "PC2" трябва да се изпълняват (match) преди правилото пакетите да заминат по default rute.

[pentagod]

spored men:



1. Winroute mnogo bavi, filtriraiki paketite, trqbwa mnogo silno PC za da dokara sto gode normalna skorost na sharnga, za predpochitane s hyperthreading, za da ne se blokira cqloto CPU s procesa-a na winroute. pri mene s P4 3.2 edvam dokarwa 8-9mb/s



2. "Резултат има само ако разреша шерване на мрежовата карта на сървъра, която е свързана с Интернет - в този случай обаче цялата сигурност пропада...".

Greshka. Tochno tova trqbwa da naprawis i da mahnes toq Mapping. Nali firewall-a e za tova, za da regulira dostapa. Nikakwa sigurnost ne se narushava. tvardo protiv sam tova reshenie s mappinga



3. Winroute ima oshte 1 kolonka za protocol inspector. Pusni si q i neq. Kakto si naprawil NAT-a, predpolagam protocol inspectora e na default i moje da syzdade seriozni problemi po http protokola. Trqbwa da precenis na koi pravila da go puskas/spiras



4. Ako te pritesnqwa sigurnostta, znachi trqbwa da restrictnes firewall mashinata da nqma nikakaw dostap do Internet. Nali tova e server, a ne desktop mashina. Za kakwo i e access do internet?? da ne govorim kakto si go naprawil na ANY SERVICE, ALLOW. hakerite samo tova chakat... razhlabena sigurnost na firewall-a

[Geo_BG]

@Ghost



Gateway на доставчика е зададен в настройките на Internet-картата на сървъра. Иначе използувам WinRoute като DHCP-сървър и работните станции са с автоматични настройки.



WinRoute поддържа Routing Table, в която мога да добавям правила. Сега изглежда така:



Net------------Mask-----------Gateway--------Interface--Metric

==================================================

0.0.0.0--------0.0.0.0.0--------111.111.11.1----Internet----20

192.168.0.0---255.255.255.0--------------------LAN--------30

111.111.11.0--255.255.255.0--------------------Internet----20



Тук 111.111.11.11 е IP-адреса на интернет-картата на сървъра (този, който ми е даден от доставчика). За съжаление, познанията ми за мрежите са по-скоро повърхностни, отколкото задълбочени и сам не се наемам да решавам въпросите с рутирането. Ако някой подскаже какво да вкарам в таблицата - няма проблеми :-))).





@pentagod



По т.1 - съгласен съм, че WinRoute бави, но не чак толкова. В момента сървъра ми е с PIII 750 MHz и WinRoute 4.2.1, а новия сървър, който подготвям и с който правя проби е PIII 1 GHz. Това обяснява и защо протоколите са на ANY. Като тръгнат нещата, ще започна да ограничавам където може.



Нещо не съм съгласен с точка 2. Представям си схемата така:



LAN Card <--> Firewall <--> Internet Card <--> Public Networks



Ако пусна шерване на Internet Card от публичните мрежи ще имат директен достъп до сървъра само с User и Pass, без техните заявки въобще да достигат до Firewall. Това го проверих на практика и наистина е така - всяка машина от мрежата на доставчика ме вижда и... Според мен стената пази зад себе си, а не преди себе си.



По т.3 - Protocol Inspector-a съм го пуснал, но го изрязах от картинката, за да не става широка. Наистина е на Default.



По т.4 - тук нещо не разбирам: "Za kakwo i e access do internet??" Ами той на самия сървър интернет не му трябва, но трябва на другите машини в мрежата му. Иначе на сървъра има и пощенски сървър, и Web-сървър с няколко сайта... Доколкото виждам по стария WinRoute, той държи отворени само порт 80 и двата порта за пощата.



Geo

[pentagod]

po t.1 mslq che noviq winroute e dosta slower ot 4.1. Towa e na oko. testowe ne sam prawil.



po t.4 - ako nqkoi exploit-ne web servera primerno, exploita otiva do apache/IIS-to, runva se, i se svarzva obratno sas mashinata na hakera. t.e. conekciqta e ot web servera kam hakerskata mashina. ako praviloto e ANY - ste uspee.

pravilniq setup e:

src: LAN, dest Internet, allow any.

src: firewall, dest: Internet, DENY ALL.

taka userite ste imat inet, no samiq server - ne



po t.2 - ti nali dawas access samo mejdu 222.222.... i FIREWALL. t.e. samo mejdu tqh ste ima sharing i za nikoi drug. nishto che sharinga e pusnal na celiq internet interface, prosto winroute ste dopuska SAMO 222.222... do sharinga?

ako ne e taka, znachi ne samrazbral celta na zadachkata.



syshto mislq che w toq sluchai routing ne ti e nujen

[Ghost]

Съжелявам. С WinRoute никога не съм се занимавал. Просто дадох теоретично решение, което знам как може да се приложи на практика с Linux.