Записки по настройке Debian Ubuntu и Microsoft Windows
Поднимаем NAT в Windows 2003 Server
Установка и настройка NAT в Windows 2003 Server (NAT and basic firewall и LAN roitung)
Для начало коротко рассмотрим что это и для чего это надо, немного воды из Википедии
1.NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством (маршрутизатором, сервером доступа, межсетевым экраном). Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.
Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» производит трансляцию IP-адреса и порта и запоминает эту трансляцию у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.
В ОС Windows 2003 есть Служба маршрутизации и удаленного доступу ( Routing and Remote access ) запускаем из меню Windows Administrative Tools. Служба Брандмауэр Windows/Общий доступ к Интернету ( Windows Firewall/Internet Connection Sharing (ICS)) должна быть выключена.
Выбираем — Особую конфигурацию. Нам необходимы — NAT and basic firewall и LAN roitung:
Идем в «NAT/Basic firewall» и добавляем интерфейсы:
— публичный (подключенный к Интернет), выбираем интерфейс, подключенный к Интернету в нашем случае это Internet
— локальный (приватный) интерфейс. В контекстном меню выбираем Новый интерфейс (New Interface), и в списке интерфейсов выбираем наш локальный интерфейс, в нашем случае это Intranet.
Далее настраиваем внешний интерфейс: IP адрес и маску.
Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем интерфейс Internet, идем в Свойства (Prefences).
83.15.1.2 – внешний IP-адрес сервера, публичный (подключенный к Интернет).
А вот дальше для себя я понял так, можно зарезервировать IP-адрес что-то вроде:
И выходя в интернет мы будем иметь IP адрес 85.15.1.2, а вот если не указывать то буду получать адреса из пула или внешней сетевой карты. Но если IP-адрес один но я получу его по любому.
Так же дело обстоит и с любимы другими IP адресами в локальной сети, если у них будет указан шлюх по умолчанию, по они смогут тоже выходить через NAT.
Для окончательной настройке NAT на клиентской машине, достаточно в настройках подключения указать в поле Шлюз IP адрес сервера и DNS.
Во общем ни какого контроля ни чего, что б получить контроль надо использовать прокси-сервер.
——- Кто не задает вопросы — тот не получает ответы
Сообщения: 1114 Благодарности: 4
——- Кто не задает вопросы — тот не получает ответы
Последний раз редактировалось XPurple, 31-01-2006 в 14:34 .
Сообщения: 81 Благодарности: 1
Сообщения: 1114 Благодарности: 4
Если есть MySQL ,я так полагаю, есть в каком то виде *nix 1. Отключите брандмауэр 2. Проверьте на предмет открытых портов с помощью команд: nmap -sT -p ‘1-10000’ ip-address ;покажет открытые tcp-порты nmap -sU -p ‘1-10000’ ip-address ;покажет открытые udp-порты 3. Включите защиту Проверьте этими командами какие порты открыты+доступны при включенной защите. 4. Отсутствуюшие порты — на совести брандмауэра
p.s. Все то же самое , повторюсь, можно сделать с помощью многих программ, в том числе упомянутой ранее netview или штатной командой Мелкомягких «netdiag /v /test:netstat»
p.p.s Воть еще, ранее не упоминул такой момент,говорю сейчас,раз уж начал. Некоторые порты могут создаваться временно(т.е. непостоянно), на время процесса обмена данными. Это касается в основном NetBios-соединений, используемых службой ldap. Это порты 1024-2000 какие-то (Я специально не следил, но примерно в этом диапазоне).
p.p.p.s В юниксе аналогом команды «netdiag /v /test:netstat» можно считать tcpdump без ключа «c», по-моему. Пишу по-памяти , точно не помню. Ну это так, на всякий случай.
——- Кто не задает вопросы — тот не получает ответы
Последний раз редактировалось XPurple, 02-02-2006 в 12:12 .
Иллюстрированный самоучитель по Microsoft Windows 2003
Брандмауэр подключения к Интернету (Internet Connection Firewall)
С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.
Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.
Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).
Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP – или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.
