Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
sabko
- проходил мимо
Непрочитанное сообщение
sabko » 2012-10-31 10:42:31
Код: Выделить всё
Доброго времени суток.. пару недель назад установил связку FreeBSD9.0+IPFW+apache+MySQL+Squid+sams+Rejik
Долго промучился с правилами IPFW, так и недокопался до сути проблемы в итоге просто напросто "отключил" его... прокся работает, трафик считает, страницы режутся - пользователи носят "откаты"..
И все бы хорошо, пока сегодня не приехал товарищ с головной конторы со словами "возрадуйся - будем внедрять 1С"... естественно сама база находиться далеко-далеко, в моей же сети только клиентские части, которыми юзеры должны подключаться к базе 1С в городе-герое Москве, должны, но не могут..
В итоге для того чтобы данный товарищ смог провести свои манипуляции с 1С пришлось выключать проксю, тк своим серым веществом я так и не сообразил как его пропустить через прокси.. Если есть люди которые сталкивались с данной проблемой, или просто желающие/имеющие возможность помоч, прошу откликнуться, ибо очень не хочу ставить вин2008 сервер и накатывать на нее какой нить юзер гейт, который в красках расхваливает мне приезжий "внедритель" 1С..
в качестве справки :
интернет ADSL, внешний адрес динамический, внутренний адрес модема 192,168,1,1
rc.conf
ifconfig_vr0="DHCP" # WAN IF
ifconfig_ale0="inet 192.168.137.10 netmask 255.255.255.0" # LAN IP
hostname="proxysrv.local"
keymap="ru.koi8-r.kbd"
defaultrouter="192.168.1.1" # Modem
sshd_enable="YES"
#======== Router settings ===========
gateway_enable="YES"
natd_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
#firewall_nat_enable="YES"
#firewall_nat_interface="ale0"
firewall_script="/etc/ipfw/ipfw-rules.sh"
natd_interface="vr0"
#====================================
sendmail_enable="NO"
mysql_enable="YES"
apache22_enable="YES"
squid_enable="YES"
sams_enable="YES"
#samba_enable="YES"
#inetd_enable="YES"
sabko
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
sabko
- проходил мимо
Непрочитанное сообщение
sabko » 2012-10-31 10:47:39
Код: Выделить всё
#!/bin/sh
ipfw -q -f flush
fwcmd="/sbin/ipfw" # Tak bystree budet
natdcmd=/sbin/natd # NAT on
skip="skipto 400"
LanIF="ale0" #Interface LAN
LanNet="192.168.137.0/24" #LAN IP
LanIP=`ifconfig ale0 | grep inet | awk '{print $2}'`
WanIF="vr0" #Interface WAN
WanIP=`ifconfig vr0 | grep inet | awk '{print $2}'` #WAN IP
# net zapretov vnutri IF smotriashego v lokalky
$fwcmd add 010 allow all from any to any via ale0
# net ogranichenyi na Loopback IF
$fwcmd add 020 allow all from any to any via lo0
# rybim poputki IF lo0 kedato otkydato lezt
$fwcmd add 030 deny ip from any to 127.0.0.0/8
$fwcmd add 040 deny ip from 127.0.0.0/8 to any
# poslat vseh na prozrachnui squid
$fwcmd add 050 fwd 127.0.0.1,8080 tcp from $LanNet to any 21,80,443,5190 out via $WanIF
# Incomming NAT
$fwcmd add 060 divert natd ip from any to any in via $WanIF
# razreshit pakety prohodit esli predudyshyi bul otpravlen
# v dinamich tablicy pravil s razresheniem sostoyaniyaя keep-state
$fwcmd add 070 check-state
############## Outgoing ################
# Outgoing PING
$fwcmd add 100 $skip icmp from any to any keep-state
# Outgoing NTP
$fwcmd add 105 $skip udp from any to any 123 out via $WanIF keep-state
# razreshit DNS
$fwcmd add 110 $skip udp from any to any 53 out via $WanIF keep-state
$fwcmd add 111 $skip tcp from any to any 53 out via $WanIF setup keep-state
$fwcmd add 120 allow tcp from $LanNet to any via $WanIF setup keep-state
# uzeru idyt v obhod squid
$fwcmd add 140 $skip all from $LanNet to any 4899 out via $WanIF setup keep-state
$fwcmd add 150 $skip all from $LanNet to any 3389 out via $WanIF setup keep-state
$fwcmd add 160 $skip all from $LanNet to any 25 out via $WanIF setup keep-state
$fwcmd add 170 $skip all from $LanNet to any 110 out via $WanIF setup keep-state
# razreshen localnui vuhodd s servera
$fwcmd add 190 $skip all from $WanIP to any out via $WanIF setup keep-state
############# Incoming ################
# zapreshen ves vhodyashi traffik iz zarezervirovannuh adresnuh prostranstv
$fwcmd add 200 deny all from 192.168.0.0/16 to any in via $WanIF #RFC 1918 private IP
$fwcmd add 201 deny all from 172.16.0.0/12 to any in via $WanIF #RFC 1918 private IP
$fwcmd add 202 deny all from 10.0.0.0/8 to any in via $WanIF #RFC 1918 private IP
$fwcmd add 203 deny all from 127.0.0.0/8 to any in via $WanIF #loopback
$fwcmd add 204 deny all from 0.0.0.0/8 to any in via $WanIF #loopback
$fwcmd add 205 deny all from 169.254.0.0/16 to any in via $WanIF #DHCP auto-config
$fwcmd add 206 deny all from 192.0.2.0/24 to any in via $WanIF #reserved for docs
$fwcmd add 207 deny all from 204.152.64.0/23 to any in via $WanIF #Sun cluster
$fwcmd add 208 deny all from 224.0.0.0/3 to any in via $WanIF #Class D & E multicast
# zapreshen ident
$fwcmd add 215 deny tcp from any to any 113 in via $WanIF
# zapreshaem ves servis NetBios. 137=imya, 138=deitagramma, 138=sessiya
$fwcmd add 220 deny tcp from any to any 137 in via $WanIF
$fwcmd add 221 deny tcp from any to any 138 in via $WanIF
$fwcmd add 222 deny tcp from any to any 139 in via $WanIF
$fwcmd add 223 deny tcp from any to any 81 in via $WanIF
# vhodyashi ping neskolko tipov
$fwcmd add 300 allow icmp from any to $WanIP in via $WanIF icmptypes 0,8,11 limit src-addr 2
# razreshit vhodyashuy www funkciy esli est web server
$fwcmd add 310 allow tcp from any to $WanIP 80 in via $WanIF setup limit src-addr 2
# razreshen vhodyashi bezopasnui SSH
$fwcmd add 320 allow tcp from any to $WanIP 22 in via $WanIF setup limit src-addr 2
# razreshena vhodyashaya SMTP esli est post server
$fwcmd add 330 allow tcp from any to $WanIP 25 in via $WanIF setup limit src-addr 2
# razreshit POP3 bla bla bla
$fwcmd add 340 allow tcp from any to $WanIP 110 in via $WanIF setup limit src-addr 2
# razreshit R-Admin
$fwcmd add 350 allow tcp from any to $WanIP 4899 in via $WanIF setup limit src-addr 2
# razreshit yje ystanovlenue soedineniya
$fwcmd add 360 allow all from any to any established
########### Final ###############
# otrybit vse chto yshlo v skeep
$fwcmd add 399 deny log all from any to any
# outgoing NAT
$fwcmd add 400 divert natd ip from any to any out via $WanIF
# vupystit paketu iz skeepa
$fwcmd add 410 allow all from any to any
# VPN Syka
$fwcmd add 450 allow gre from any to any
# rejem vse lishnee s zaneseniem v log
$fwcmd add 999 allow log all from any to any
Собственно вопрос, где я налажал при установке связки так что не пускает в интернет, и что делать на данный момент чтобы бухгалтер Маша могла работать в 1С
sabko
-
mak_v_
- проходил мимо
Непрочитанное сообщение
mak_v_ » 2012-10-31 11:07:39
Каким образом у вас должно происходить подключение "к 1с"?
Впн? Рдп поверх ВПН? просто РДП?
mak_v_
-
sabko
- проходил мимо
Непрочитанное сообщение
sabko » 2012-10-31 11:12:16
Предполагаю что через впн, ибо перед конфигурированием своих плюшек внедритель устанавливал впн соединение, на вопрос же по какому протоколу и как ВООБЩЕ работает клиент 1С он просто округлил глаза..
sabko
-
mak_v_
- проходил мимо
Непрочитанное сообщение
mak_v_ » 2012-10-31 11:28:16
Впн-тунель у вас уже работает?
Если так, то настройте маршрутизацю и разрешите прохождение пакетов от вашей сети к серверу 1с по порту 1540-1541, 1560:1591 tcp (без ната)
Но, "по правильному", дабы 1с не создавала "тучу трафика" - поставьте в "удленной сети с сервером 1с" терминальный сервер. ИМХО - у меня пяток филиалов так работает.
mak_v_
-
sabko
- проходил мимо
Непрочитанное сообщение
sabko » 2012-10-31 11:31:37
впн сейчас не работает, не может он подключиться
sabko
-
mak_v_
- проходил мимо
Непрочитанное сообщение
mak_v_ » 2012-10-31 11:38:29
Настройте впн, а потом уже за 1с беритесь. А то получается сели на горшок, а штаны снять забыли.
Все по порядку.
mak_v_
-
sabko
- проходил мимо
Непрочитанное сообщение
sabko » 2012-10-31 12:30:56
так и весь вопрос как мне настроить впн? прелюдия с 1С была для конкретного случая, мне необходимо чтобы при работающем прокси работали впн соединения,через которые работает 1С, НО если у меня файрвол имеет статус open, почему не соединяет? собственно и вопрос куда и что в правилах подставить чтоб соединяло
sabko
-
mak_v_
- проходил мимо
Непрочитанное сообщение
mak_v_ » 2012-10-31 12:47:29
мдя.....опять поциент?
ВПН ?????? просто он не работает...а конфиги ему не надо, впрочем как и логи.
А вот 1С - надо.. и блин фаервол...ну и проксю туда, а ещё мне бы CS-сервер.
Подскажите, где у меня в Оракле проблема?
при работающем прокси работали впн соединения,через которые работает 1С,
-что бы это значило?
mak_v_