Настройка BM35

Обсуждение технических вопросов по продуктам Novell

Настройка BM35

Сообщение Павел Голенков » 09 сен 2003, 16:05

Уважаемые коллеги! Не убивайте за этот вопрос, а помогите разобраться, хотя бы в какую сторону смотреть. Имею NW4SP9 и установленный на нем BM35 со всеми SP по Крейгу Джонсу. На сервере обыкновенный dialup модем с динамически получаемым IP адресом. Настройку WAN соединения уже завершил. В inetcfg все настройки сделаны.

Требуется настроить BM35. Крутого ничего не нужно. Бордюр нужен только для того, чтобы внешние DNS провайдера (своих нет) не прописывать на рабочих станциях, а только в бордюре. Прав никаких не надо, фильтры не знаю, наверное запретить только, чтобы лезли ко мне ивне. Максимум, что может понадобится, только указание с каких IP адресов можно будет выходить в Интернет. Подскажите как по минимуму заставить это хозяйство заработать, глубже буду изучать после отпуска.

Доку по Бордюру имею, но там много всего и по фильтрам, и по правам, и по NAT. Надо сначала понять политику, куда лезть.

Буду признателен всем, кто ответит!!!
Павел Голенков
 
Сообщения: 51
Зарегистрирован: 20 ноя 2002, 19:34
Откуда: Москва

Сообщение stas » 10 сен 2003, 06:46

если у тебя динамически раздается IP то по моему не трудно раздавать и адрес днс провайдера

а указатть адреса с которых можно выходить в инет - nwadmin32\<details сервера>\bordermanager acvess rules\ - там все просто

самый минимум по фильтрам вот тут - http://netware.nwsoft.ru/publication/brdmgr01.htm
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Сообщение Занадворов Владимир » 10 сен 2003, 08:09

На бордере в Sys:/etc/resolv.cfg прописываешь dns сервера провайдера (load inetcfg ->Protocols -> TCP/IP -> DNS Resolver Configuration)

Далее в Nwadmn32 выбираем сервер, вкладку BorderManager Setup, включаем DNS Proxy.
На клиентах указываем в качестве dns сервера бордёр.

А с правилами действительно достаточно быстро можно разобраться.
Аватара пользователя
Занадворов Владимир
 
Сообщения: 71
Зарегистрирован: 06 июн 2002, 18:45
Откуда: Санкт-Петербург

Re: Настройка BM35

Сообщение Мещеряков Андрей » 10 сен 2003, 09:13

Приветствую!
[quote="Павел Голенков"]Уважаемые коллеги!
Требуется настроить BM35. Крутого ничего не нужно. Бордюр нужен только для того, чтобы внешние DNS провайдера (своих нет) не прописывать на рабочих станциях, а только в бордюре. Прав никаких не надо, фильтры не знаю, наверное запретить только, чтобы лезли ко мне ивне. Максимум, что может понадобится, только указание с каких IP адресов можно будет выходить в Интернет. Подскажите как по минимуму заставить это хозяйство заработать, глубже буду изучать после отпуска.

[/quote]
При отсутствии ясного критерия неочевидной становится и истина... (с) Юлиан Семенов

Для "крутого ничего не нужно" вам в первую очередь не нужет сам БМ. Достаточно NIAS... из его набора и сервера DHCP. Раздавайте имя домена провайдера и адреса его серверов имен через DHCP, поставьте модем маршрутом по умолчанию - и будите счастливы. Вероятность, конечно, что к вам залезут есть, но настолько.... (адрес-то динамический, и адреса станций за Nat-ом не видны... Что бы модем лишний раз не дергался, клиентов надо ставить без поддержки ip, оную доставлять позже, или хотя бы ставить приоритетным протоколом ipx. Принципиальный изъян только один - лазить будуть все, у кого стоит стек tcp на станции.

Теперь по поводу "максимума". В случае установки Бордера в ваших руках оказывается инструмент на порядок можнее "непускания" конкретных станций (адресов) . Конечно, можно и так, но зачем?.. Намного изящнее не пускать (пускать) людей (пользователей), что прокси в первую очередь и должен делать. Из принципиальных сложностей имеется только один - прокси требует указания конкретного адреса public и private. Со вторым проблем не будет, а вот с первым сложнее: адрес-то у модема будет динамический, как уже было сказано!

С уважением, And
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Владимир Горяев » 10 сен 2003, 10:46

Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

a

Сообщение Юрий aka qwerty » 10 сен 2003, 12:13

Самый лучший вариант это NIAS и нат на внешнем интерфейсе.
Все как сказал Мерещаков Андрей, но
можно сделать чтобы лазить не смогли кто попало. на DHCP поставить бесконечную аренду ip адресов. На NAT использовать статик режим да или простые фильтры заделать и можно будет ограничивать доступ конкретным пользователям (ну конечно грубо говоря, а так к адресам). Конечно если только особо грамотных нет, чтоб смогли себе адрес поменять. В небольших конторах с небольшим числом пользователей и слабой подготовкой пользователей схема отлично работает.
Аватара пользователя
Юрий aka qwerty
 
Сообщения: 152
Зарегистрирован: 12 июн 2002, 06:32
Откуда: г.Иркутск

Настройка BM35

Сообщение Павел Голенков » 10 сен 2003, 12:56

Добрые люди! Спасибо за то, что откликнулись на мой топик. Но проблема, которая возникла и побудила копаться с бордюром заключается в следующем:

У меня сейчас реально стоит и работает NW4SP9 с установленным, но не поднятым BM35SP3. Бордюр ставил ради NIAS. Сейчас реально работает NIAS c Dynamic NAT, все как у Крейга Джонса. Все работает как часики. Кроме одного. На машинах в свойствах TCP поставил два DNS своего провайдера. Схема нужна следующая: человек поработал в инете, закрыл браузер, далее сервер по IDLE TIME отключает WAN соединение. Нужен инет - открыл браузер, дозвон на серваке пошел. Все это сейчас прекрасно работает. Только на машинах с Win98 происходит следующее. На консоли сервера по SET TCP IP DEBUG=1 я вижу как даже с не включенным браузером машина начинает посылать пакеты на сервер в поисках этих DNS провайдера и модем начинает звонить. А на машинах с WINXP самое интересное все тип-топ. Соответственно надо или заставить клиента не посылать запросы во время неработающего браузера, либо по идее подымать в сети свой сервер DNS и кешировать эти DNS. Но тогда вопрос такой, подняли свой DNS, прописали в свойсвах TCP на машинах DNS своего сервера и что машина перестанет посылать запросы на свой сервер DNS, а тот на модем во время неработающего браузера?

Как обойти проблему постоянно звонящего модема. Сейчас я на работе и модем с серваком у меня в комнате. Люди(4 человека), которым нужен инет, говорят мне об этом и я его просто включаю в сеть, поработали я питание на модеме выключаю. С понедельника я в отпуск ухожу. Комната закрывается на ключ, допуска кроме меня ни у кого нет. Если я оставлю включенным модем, он будет постоянно в инете и счет за инет придет нешуточный.
Павел Голенков
 
Сообщения: 51
Зарегистрирован: 20 ноя 2002, 19:34
Откуда: Москва

Сообщение Андрей Троценко » 10 сен 2003, 14:15

Посмотрите DNS-запросы посылаемые станциями (Win98), скорее всего это попытки развязать имена "соседей". В этом случае, локальная DNS-зона (пусть и фиктивная) выручит.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Как настроить DNS...

Сообщение Мещеряков Андрей » 10 сен 2003, 20:53

Приветствую!

Служба DNS для 4.х явно не входит в "золотой фонд" продуктов Novell, если так можно выразиться :? и найти описание ее настройки действительно нелегко (по крайней мере мне это не удалось 8) ). Сразу отмечу, что описание касается версии DNS, которая поставляется вместе с Netware/IP. В комплекте утилит печати для Униха идет несколько отличная DNS, но довольно близкая по вкусу. Сама процедура геморройна и длительна, что в этот момент делает сервер, доподлинно неизвестно, но уходит его в самом что ни есть бестолковом ожидании много. DNS поддерживает только одну зону. Не случайно в 5.х весь этот агрегат переписали "от нуля".

1.Ставим NWIP, для чего на сервере должен иметься сконфигурированный стек IP, иначе в установке будет отказано. На все предложения приступить к конфигурации служб отвечаем решительным отказом.
2. Лезем редактором (edit.nlm) или чем-то другим в содержимое файла с именами хостов - и трем или комментарим все, кроме своего сервера и кольцевого маршрута.
3. Запускаем unicon и регистрируемся в нем. Делаем инициализацию (создание) базы данных DNS.
Лирическое отсутление - по умолчанию служба предлагает имя домена как <имя сервера>.com Соглашаться на это не стоит! Это домен 2-го уровня, и должен быть зарегестрирован в домене .com. А здесь нет возможности сделать свой домен непересылаемым, как в 5.хх. Поэтому я давал имя как <имя организации>. Здесь мне не все ясно, и наверняка уважаемой аудитории будет чем дополнить или поправить.
4. Стартуем службу DNS. Запускаем ping и пробуем ее на работопригодность. При желании можно скорректировать список имен корневых серверов имен, дополнив их серверами провайдера.


Примечания: По моим наблюдениям, служба DNS очень чувствительна к загрузке сервера приложениями. Я так и не смог заставить ее стабильно работать на сервере с установленным BM 3.5 (прокси) - через непродолжительное время она переставала пинговаться по непонятным причинам. И ничего лучшего, чем разместить это чудо на отдельном чисто символическом серваке, ради нее врезанном в дерево, в голову не приходит. Вместе с этим напрашивается другая невеселая мысль - что для устройчивой работы этой службы таких серверов надо минимум 2! Либо использовать в качестве DNS 5.x из-за ее службы. Где-то мне встречалось упоминание, что эту службу якобы можно "оторвать" от 5.х и "приставить" 4.х - есть возможность проверить :lol:

P.S.
В вашем случае вырисовывается следующая картина: основной сервер с прокси и двумя сетевыми платами и "коммуникационный" сервер с модемом и DNS на базе какого-нибудь замшелого пентиума или даже 486. И все-таки проверьте ситуацию с клиентами - в моей бывшей организации эта машинерия работает с 2000-года и шевеление модема наблюдается редко - при регистрации пользователей - по причинам установки клиента "IPX&IP", причем сервер вначале ищется естейсно, по IP. Может, у вас какие сетевые вирусы или троянцы живут? Прокси - DNS тоже имеет обыкновение проверять активность своей DNS, так что для вас он не выход.

С уважением, And
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Re: Как настроить DNS...

Сообщение Владимир Горяев » 11 сен 2003, 09:48

Мещеряков Андрей писал(а):Где-то мне встречалось упоминание, что эту службу якобы можно "оторвать" от 5.х и "приставить" 4.х - есть возможность проверить :lol:
Встречалось видимо тут
Dynamic DNS и DHCP Server for NetWare 4.11 (1999)
Cлегка подправленная версия DDNS от NW5.0(sp2) выпущенная когда-то Novell для INW4.11 плюс обновление (оторванный DDNS от nw5sp5 и прикрученный к NW4.11).
Это полноценный Dynamic DNS и DHCP сервера, которые могут исполняться на INW4.11 (sp8 (sp9 - точно)).
Адреса выделенные DHCP отображаются в реверсной зоне DNS.
Начинать надо с DnIPInst.nlm.
Наряду с ключиками, которые выдаются по хелпу, есть недокументированный ключик "- f", то бишь Force. Заставляет DnIPInst.nlm не обращать внимание, что схема расширена и уже существуют соотв. объекты в дереве, заново их пересоздает. Кстати, ничего страшного не произойдет, кроме утери всех настроек DNS/DHCP, конечно, если в случае каких-то проблем вызвать DnIPInst.nlm -r, а потом запустить снова DnIpInst.nlm без ключей и повторить всю процедуру инсталляции. Далее запускаете стандартную java DNS-DHCP консоль и создаете сначала DNS, а потом DHCP сервера, потом запускаете named и dhcpsrvr на сервере, и после того как у консоли установится связь с ними, продолжаете их настройку.
Сам DNS: named.nlm
DHCP : dhcpsrvr.nlm
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 61

cron