форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
Сообщение от KUL on 03-Авг-11, 10:59
Здравствуйте! Подскажите, в какую сторону копать (матом не ругаться и лолы не писать!) Имею сеть 192.168.0.0/22 В этой сети роутер 192.168.0.1 Сервер 192.168.0.10, во второй сетевой 192.168.5.10 Пару десятков клиентов. На сервере 192.168.0.10 имеем следующее нат iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -d 192.168.0.0/22 -j SNAT --to-source 192.168.0.10 iptables -t nat -A POSTROUTING -s 192.168.0.0/22 -d 192.168.5.0/24 -j SNAT --to-source 192.168.5.10 роуты 192.168.5.0     192.168.5.10    255.255.255.0   UG    0      0        0 eth1 192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0 0.0.0.0         192.168.0.1    0.0.0.0         UG    0      0        0 eth0 Машины получают адреса по конфигу         option routers 192.168.0.10;         option subnet-mask 255.255.252.0;         option broadcast-address 192.168.3.255;         option domain-name-servers 192.168.0.10;         range 192.168.0.111 192.168.1.254;         default-lease-time 5000000;         max-lease-time 5000100;         option netbios-name-servers 192.168.0.10;         option netbios-dd-server 192.168.0.10;         option netbios-node-type 8; Здесь же стоит ldap+samba(pdc)+squid+openfire Есть вторая сеть 192.168.5.0/24 роутер 192.168.1.1 сервер 192.168.5.1 - для другого десятка компов, и 192.168.1.2 для роутера роуты 192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0 192.168.0.0     192.168.5.10    255.255.252.0   UG    0      0        0 eth0 0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1 Адреса раздаются так         option routers 192.168.5.1;         option subnet-mask 255.255.255.0;         option domain-name-servers 192.168.5.1;         option netbios-name-servers 192.168.5.10;         option netbios-dd-server 192.168.5.10;         range 192.168.5.30 192.168.5.254;         default-lease-time 5000000;         max-lease-time 5000100; Роуты и нат поправлены, чтобы клиенты друг друга видели. По ИПам всё ок. Т.е. 192.168.5.12 пингует 192.168.0.109 и всё отлично, также наоборот. НО! Если клиент 192.168.5.12 зайдёт в сетевое окружение, то видит все группы своей сети (домена нет) и видит домен сети 192.168.0.0/22, также пингует все машины 192.168.0.0/22 по имени отлично. А вот из сети 192.168.0.0/22 видно все группы 192.168.5.0/24, но если зайти в группу то пусто. Машины по имени не видит. В чём прокол?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
Сообщение от KUL on 03-Авг-11, 11:04
Если нужно, могу схемку нарисовать, нагляднее как то и понятнее будет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
	Сообщение от reader (ok) on 03-Авг-11, 11:20
	> Если нужно, могу схемку нарисовать, нагляднее как то и понятнее будет. тут не схему рисовать, а с wins разбираться. попробуйте и в 192.168.5.0/24 добавить option netbios-node-type 8;
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
	Сообщение от Zl0 (ok) on 03-Авг-11, 14:44
	> Если нужно, могу схемку нарисовать, нагляднее как то и понятнее будет. Чето непонятно а зачем нат? для секурности чтоли? Может просто одни маршруты да форвард в фаерволе оставить?А так же нужен wins чтобы он две сетки объединял в одну микрософтовскую воркгруппу.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
Сообщение от KUL on 04-Авг-11, 02:36
reader Прописал на втором сервачке, чтобы клиенты стучались на WINS сервер первого сервачка. Вроде пинги по именам работают, с любой сети видно машинки по именам. НО! Если с сети 192.168.5.0/24 на клиенте посмотреть сетевое окружение, то там виден домен 192.168.0.0/22 сети, даже можно зайти, а вот с сети 192.168.0.0/22 в сетевом окружении группы сети 192.168.5.0/24 видно, но если зайти, то "отображено 0 элементов", печально :( ... Но в принципе важно было, чтобы клиенты видели друг друга по именам. Спасибо за помощь :). Zl0 Ну нат, что бы сказать, что если запрос пришёл от сюда, и хочет туда, то от туда сюда получать. Или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
	Сообщение от KUL on 04-Авг-11, 04:59
	посмотрел файлик /var/lib/samba/wins.dat в нём полный список машин с обеих сетей. на виндовом клиенте делаю nbtstat -r показывает "разрешено с помощью сервера имён = 49", только вот смущает "зарегистрировано с помощью сервера имён = 4" ...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
	Сообщение от Zl0 (ok) on 04-Авг-11, 12:03
	> Zl0 > Ну нат, что бы сказать, что если запрос пришёл от сюда, и > хочет туда, то от туда сюда получать. Или нет? натом вы просто прячете всю сетку за одним адресом от другой. Оно вам нужно? вроде вы стараетесь сделать прозрачную маршрутизацию, тогда вам должно хватить включенного форвардинга и правильного роутинга.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Объеденить 2 сети (клиенты видят друг друга по имени)"	+/–
	Сообщение от KUL on 05-Авг-11, 08:59
	> натом вы просто прячете всю сетку за одним адресом от другой. Оно > вам нужно? вроде вы стараетесь сделать прозрачную маршрутизацию, тогда вам должно > хватить включенного форвардинга и правильного роутинга. Есть один нюанс, из-за которого это приходится делать ... Дело в том, что на некоторых машинках сети 192.168.5.0/24 есть общие ресурсы, к которым должен быть доступ. Например машина "sekretar", по пингам она видна и по имени и по ипу, но вот если попытаться зайти на неё через \\sekretar то увы неполучится, поэтому без ната никак :(. Господа, но всё же, как можно побороть недуг, насчёт невидимости машин 192.168.5.0/24 из сети 192.168.0.0/22 в сетевом окружении виндоклиентов? (если наоборот, то видно) Даже не знаю в какую сторону копать :( ... Может это из-за того, что с сервера 192.168.0.10 (он же 192.168.5.10) неработает пинг по именам клиентов? (хотя непонятно почему, вроде winbindd запущен и работает)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема