Помогите плиз настроить BM 35

Обсуждение технических вопросов по продуктам Novell

Помогите плиз настроить BM 35

Сообщение Каушанский Евгений » 28 ноя 2002, 17:23

Сервер 51 БМ35 выделеная линия .
Выделеный IP прописан на модем РРР 195.х.х.243
255.255.255.240
нам выделили подсеть 195.x.x.80
прописал ещё два адреса на приватный интерфейс 3сом905 195.х.х.81
и 192.168.0.1
Прописал роутер по умолчанию 195.x.x.1
Запустил прокси сервер,в настройках прокси сервера указал приват 192ххх и паблик 195ххх
Запустил прокси HTTP и прозрачный HTTP.
Позволил в правилах для сервера все URL для всех.Все фильтра для IP отключил.
С рабочей станции через Эксплорер получаю ошибку 403 Forbidden при включеных правилах доступа в NWadmin и 504 Gateway Timeout если их отключить.
Минуя прокси всё работает,странички открываются.
Что я сделал не так?
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Alex-M » 28 ноя 2002, 19:47

Вопрос №1: С сервера пинг идёт наружу? Т.е., сетевая часть (адреса, шлюзы) работает нормально?
Вопрос №2: Я верно понял, что имеется внутренняя приватная сеть 192.168.х.у, станции имеют адреса из этой сети и шлюзом у них стоит приват-адрес Бордюра? Если таки да - ещё более интересный вопрос: как это станции при отключённых фильтрах и прокси видят страницы? :) Или ещё там поднят НАТ?
Вопрос №3: А зачем одновременно НТТР прокси и транспарент НТТР прокси? Надо или-или и лучше простой, не-транпарент...
Вопрос №4: Я так понял, что авторизации нету - а галка "разрешить авторизацию" в кнопе "контекст аутентификации" снята? :)
Далее, по правилам: УРЛ - это конечно хорошо, но КТО и через ЧТО будет эти самые УРЛы доставать? Я это к тому, что надо дописать правила, разрешающие всем (или кому-то там) пользоваться САМИМ НТТР-прокси. :)
Насчёт 504-еррор сейчас не скажу, надо получить более подробную информацию о конфигурации и результаты вышеперечисленных вопросов... :)
Кстати, насчёт Ехплорера и 504 (да и вообще по Бордюру масса интересного) можно посмотреть на сайте http://nscsysop.hypermart.net у Крейга Джонсона.

Твори, дерзай и путь юзер маст дай! :)
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Мещеряков Андрей » 29 ноя 2002, 10:11

Приветствую!
Надо латать BM. Обязательно ставится sp3, после него два раза латался сам прокси. Проблема именно-та, то пускает всех, то не пускает никого :lol: У меня в настоящее время работает версия 027, испытывал и предназначенную для ВМ 3.7 версию с пометкой domestic -работает, зараза! :P Но с ним будьте осторожны: у меня-то платформа NW4.2

С уважением, And
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

обращение с приватного адреса 192..4 идёт напрямую к паблик

Сообщение Каушанский Евгений » 29 ноя 2002, 14:22

1 . Пинг идёт наружу и с сервера ,и срабочей станции с 192.168.0.1 до шлюза провайдера.
2 НАТ отключён,если в эксплорере не указывать прокси , а поставить
автоматическое определение параметров, тогда экспл. открывает странички, НО мои наблюдения на рабочей станции в программе WEbBOY показывают что обращение с приватного адреса 192..4 идёт напрямую к паблик 195..243 т.е минуя 192..1! Почему такоё происходит ,почему не идёт через 195..81 ? Ну а если указать ходить через прокси получаю выше описаные ошибки :(

3 Просто попробовал я уже отключил транспарент прокси.

4 Авторизацию отключил пока. Првило я добавил на порт 80 ходить 8080 для TCP/IP всем и со всех. Всё равно теже ошибки может не правильно написал порты ?
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Alex-M » 29 ноя 2002, 14:45

1. Хреново - значит левый пров. Нормальный должен ставить на всех роутерах фильтра на приватные подсети. Для того они и приватные. И дальше пакеты не пройдут.
2. Т.е., получается, что станция ломится напрямую на сайт через БМ, как через простой роутер? Ну, естессно - ИЕ сам автоматом не умеет БМ находить, а пакетные фильтра Вы отключили. :)
4. Правило лучше такое: тип=НТТР-прокси, порт=80, источник=любой, назначение=любой. Потом, когда отладите, добавите правила для других портов.
Вопросы далее:
1) Фильтрация отключена совсем? Т.е., запрещена в INETCFG? Или просто все фильтры удалены в FILTCFG? Это не одно и тоже... :)
2) Какая точно кнофигурация БМ - какой адрес приват, какой паблик? Выполняли ли BRDCFG? И прописаны ли они в НВАдмине, в настройках БМ?
3) Как настроен ДНС-резолвинг на БМ? Если есть два ДНСа (внешний и внутренний) лучше первым поставить внешний.
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

На сервере стоит 3 сервпак и на бордюре тоже

Сообщение Каушанский Евгений » 29 ноя 2002, 14:49

На сервере стоит 3 сервпак и на бордюре тоже.
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Фильтрация отключена совсем т.е., запрещена в INETCFG.

Сообщение Каушанский Евгений » 29 ноя 2002, 15:17

1) Фильтрация отключена совсем т.е., запрещена в INETCFG.
2) 192.x.x.1 адрес приват, какой паблик 195.x.x.243 ?
Эти адреса я указал через нвадмин в настройках бордера .
Выполняли ли BRDCFG? да но сказал фильтра ставить не надо.
3) Есть ДНС толбко внешний стоит первым ес-но
_________________
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Мещеряков Андрей » 29 ноя 2002, 16:52

Приветствую!
А маршрута с привата на паблик нет? И если можно, нарисуйте-ка схему своих сетей с адресами... и комментариями. А то перед глазами как-то кружится. Вообще-то я не слышал, что б провайдер не фильтровал приват адреса.. Это альфа и омега. Наш во всяком случае точно прифльтует!
Если прокси не запущены, а маршрута между адресами нет, то я все равно не понимаю, как ходят данные. К стати, как ставился-то ВМ35 на 5.1? У 5.1 NIAS свежее, и при таковой операции у меня шли запросы на конфузы с версиями модулей.

С уважением.And
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Alex-M » 29 ноя 2002, 20:09

Да, надо бы схемку сети в виде цепочки: кто - какой интерфейс - какой адрес... А то не совсем ясно...
Типа: модем (адрес) - БМпаблик (адрес) - БМприват (адрес) - станция (адрес). И маски подсетей тоже.
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Про сеть....

Сообщение Каушанский Евгений » 29 ноя 2002, 20:12

Первое что хотел спросить что вы имели в виду под:
А маршрута с привата на паблик нет?

Вообще я выше уже всё описал, другое дело может я что-то не совсем правильно представляю как оно должно работать.Может я создал сеть не верно, тогда поправте меня.

1.Шлюз адрес провайдера 195хх1 ,прописан роутером по умолчанию.
2.Мой сервер паблик на РРР 195хх243 маска 255.255.255.240 указан в бордюре как паблик.
3.Мой сервер на 3сом 195хх81 маска 255.255.255.240 для маршрутизации из 192.168.0.0 сети в 195хх80 сеть ,а из неё в 195хх240.
Ещё один адрес привязан к той же 3сом на сервере где и 195хх81 192.168.0.1 с 255.255.255.0 указан в бордюре как приват.

4. Существует ещё одна организация с которой мы делим выход в интернет . Ей необходим реальный адрес ,который она и должна получать из 195хх80 сети 195хх88.

5. Плюс планируется отдельная для них подсеть 192.168.1.0 с 255.255.255.0но это сейчас к делу не относиться.

6. Всё это сейчас работает на UNIXe ,а надо перевести на нетварь.
Может она не подерживает такую конфигурацию как я нагородил ?
Поправте меня.
7. Ставилось вроде всё без особых проблем сначала СП3 на сервер,потом бордюр ,СП3 на него и тд.
Ставлю бордюр первый раз ,поэтому опыта нет :( доку читал .
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Alex-M » 29 ноя 2002, 20:40

Бррр. Опять недопонял... :)
1) 195хх1/28 - указан как дефолт-гейт на БМ.
2) 195хх243/28 - паблик-адрес БМ.
3) 195хх81/28 - приват-адрес БМ.
4) 192хх1/24 - тоже приват-адрес БМ (и на той же карте).
Так? Можно ещё сюда кинуть роутинг-тэйбл из TCPCON? Надо смотреть подробнее.
Оба этих привата прописаны в НВАдмине или как?
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Каушанский Евгений » 29 ноя 2002, 21:03

Не совсем так 195.xx81 привязан ,но я его не где не указывал в бордюре.Приватом указан только 192.168.0.1
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Alex-M » 29 ноя 2002, 21:14

Так, хорошо. А всё-таки, роут-тэйбл посмотреть можно?
Ибо "меня терзают смутные сомнения" :D ("Иван Васильевич ..."), что адреса 195хх1 и 195хх243 из разных подсетей. Для маски 240 у первой будет диапазон 1...14 (броадкаст 15), у второй - 241...254 (броадкаст 255). Как же они роутиться будут? :)
Гейт то должен быть из той-же сетки (например с адресом 245)...
А было всё на Линухе, я так понял?

ЗЫ - забыл ещё про одно правило, кроме НТТР-прокси. Надо написать, что паблик-адрес БМ может пользовать порт 53 TCP/UDP всюду. Это для резолва имён проксёй...
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Каушанский Евгений » 29 ноя 2002, 21:33

A как я его вам покажу роут-тэйбл ,как его в текст перегнать., ручками что ли.

Сейчас всё продолжает работать на FreeBSD3
Не знаю как но роутиться

# This file now contains just the overrides from /etc/defaults/rc.conf
# please make all changes to this file.

# -- sysinstall generated deltas -- #
#network_interfaces="arl0 xl0 lo0 ppp0"
network_interfaces="xl0 lo0 ppp0"

ifconfig_xl0="inet 192.168.0.1 netmask 255.255.255.0" # RN
ifconfig_xl0_alias0="inet 192.168.1.1 netmask 255.255.255.0" # SPRESS
ifconfig_xl0_alias1="inet 195.х.х.81 netmask 255.255.255.240" # SPRESS


hostname="rn.х.ru"
named_enable="YES" # Run named, the DNS server (or NO).
named_program="/usr/local/sbin/named" # path to named, if you want a different one.
named_flags="-u bind -g bind"
gateway_enable="YES"
portmap_enable="NO"
firewall_enable="YES" # Set to YES to enable firewall functionality
firewall_type="/etc/firewall"
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

Сообщение Каушанский Евгений » 29 ноя 2002, 21:43

Destination Next hop Type Cost Interface
192.168.0.0 192.168.0.1 Direct 1 1

195.x.x80 195.x.x81 Direct 1 1

195.x.x240 195.x.x243 Direct 1 3
Спасибо за внимание.
Аватара пользователя
Каушанский Евгений
 
Сообщения: 25
Зарегистрирован: 14 июн 2002, 17:40
Откуда: единственный город на полярном круге Салехард

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron