XoRe

2lamo: arm... у вас рутер на КПК чтоли? )

Фигли смеетесь, все так начинали) Хотя наверное без выклянчивания денег, а скорее "мы все сделаем сами!" =)

2masters: Большой поклон) Статья натолкнула на решение. Для примера буду использовать адреса выше, а пробрасываемые порты пусть будут 10000 и 20000. Решение: В ipfw у меня НАТ описан так: ${ipfw} add 16010 divert 8668 ip from not me to any via fxp0 ${ipfw} add 16020 divert 8669 ip from not me to any via fxp1 ${ipfw} add 16030 divert 8672 ip from not me to any via fxp2 Нужно прописать такое правило: ${ipfw} add 15610 divert 8669 tcp from 192.168.0.2 10000,20000 to any out Причем, как видно из номера правила, его нужно прописать ПЕРЕД правилами с обычным натом. Суть решения в том, что тогда даже если пакет собирается уйти наружу через другой интерфейс, он все равно будет завернут на нат того интерфейса, через который должен выходить. После ната у исходящего пакета будет нужный внешний адрес, т.е. 1.1.1.1. Ну а с помощью правил: ${ipfw} add 23010 fwd 1.1.1.2 ip from 1.1.1.1 to any ${ipfw} add 23030 fwd 2.2.2.3 ip from 2.2.2.2 to any ${ipfw} add 23040 fwd 10.0.0.4 ip from 10.0.0.3 to any Пакет уйдет через тот линк, через который нужно. fwd правила - это реализация policy based routing. В целом решение получается такое: Определиться с интерфейсом, на котором пробрасывать порты. Такой интерфейс должен быть один. Настроить на нем редирек портов вида: -redirect_port tcp 192.168.0.2:10000 20000 Ну и добавить в фаерволл правило, которое будет подхватывать исходящие пакеты с пробрасываемого порта и прописывать им нужный внешний адрес.

Попробуй посмотреть trafshow по интерфейсам. У меня было такое, когда в сети много компов заразились сетевым вирусом и рассылали в сеть мнооого запросов. Тогда слабенький роутер усирался по прерыванию. Хотя у тебя 0.0% interrupt. Пинг идет без потерь?

Как пробросить порт при наличии нескольких каналов в инет Стоит машинка на FreeBSD 6.0. У машинки 3 линка в интернет (у 2 линков реальные ип адреса, у третьего ип из сети 10.0.0.0, выходит в интернет через НАТ провайдера). Причем один линк (который через НАТ) указан, как default gateway. А на каждый из двух других линков прописано по некоторому количеству статических маршрутов. И есть линк в локальную сеть 192.168. А в локальной сети стоит ещё одна машинка. Допустим, адреса на линках в интернет такие: 1.1.1.1, 2.2.2.2 и 10.0.0.3. И допустим, внутренний ип-адрес машинки 192.168.0.1. А ип-адрес ещё одной машинки в локалке 192.168.0.2. Задача: пробросить в локальную сеть пару портов на 192.168.0.2. Причем нужно, чтобы 192.168.0.2 видел, с какого адреса из интернета к нему идет подключение. Кажется простым делом, с которым справляется ipfw+natd благодаря опции redirect-port. Он отлично справляется, если все идет через один канал. А когда несколько каналов, то получается вот что: Приходит пакет с какого-то адреса в интернете (допустим с адреса 5.5.5.5) на адрес 1.1.1.1. (пакет 5.5.5.5 -> 1.1.1.1). Проходит внутрь локалки, становясь пакетом вида 5.5.5.5 -> 192.168.0.2. Машинка в локальной сети отвечает пакетом 192.168.0.2 -> 5.5.5.5. И тут начинаются грабли. Если ответный пакет уйдет в интернет с линка 1.1.1.1, то он преобразуется в пакет 1.1.1.1 -> 5.5.5.5. И все будет нормально, ушел пакет 5.5.5.5 -> 1.1.1.1, пришел пакет 1.1.1.1 -> 5.5.5.5, соединение установлено. А если ответный пакет уйдет с линка 2.2.2.2 или 10.0.0.3, то компьтеру придет ответный пакет 2.2.2.2 -> 5.5.5.5 или 10.0.0.3 -> 5.5.5.5, что довольно сложно опознать, как ответ на пакет 5.5.5.5 -> 1.1.1.1. Сейчас это делается посредством программы redir (/usr/ports/net/redir). Но у этой программы есть один нюанс. При посылке пакета вида 5.5.5.5 -> 1.1.1.1 при прохождении через нашу машинку пакет преобразовывается в 192.168.0.1 -> 192.168.0.2. Т.е. для машины 192.168.0.2 все соединения идут с адреса 192.168.0.1. Необходимо сделать проброс так, чтоб 192.168.0.2 видел, с какого адреса из интернета к нему идет подключение. Подскажите, пожалуйста, решение для сей ситуации.

Против обнуления можно вот так: http://local.com.ua/forum/index.php?showtopic=3845 Или так: http://local.com.ua/forum/index.php?showto...=40entry49854

Есть такая бага на 2.016. Если не ошибаюсь, у поля "примечания". Если напишешь длинную строку, или отредактируешь её, сервер виснед. Как выход - ставьте более новую версию стг. P.S. Любите поднимать старые темы? )

Посмотри выхлоп программ top и systat. А так-же попробуй выдернуть сетевой кабель из сети и посмотреть на результат. Загрузку сети и что по ней летает, очень хорошо смотреть утилитами trafshow и tcpdump.

Имхо, в сети на неуправляемых свичах против атаки типа man in the middle очень хорошо помогает жесткая привязка мак-адресов к ип-адресам на шлюзе. Тогда трафик от компа "посередине" будет отбрасываться, т.к. не будет соответствовать паре "ип-адрес юзера:мак-адрес юзера". Кроме того хакеру будет сложно подставить свой мак-адрес как мак-адрес шлюза, т.к. винда довольно резво обновляет арп таблицу. А шлюз с привязкой отвечает на запрос мак-адреса любого компа в локалке, в том числе и своего. Причем, у меня есть такая догадка, что шлюз на *nix отвечает оперативнее и стабильнее, чем программа для сниффинга.

ipcad ) Если ОС FreeBSD, то лучший вариант - netgraph. Хотя не такой простой в настройке, как ipcad.

Управляемыми свичами можно контролировать МАК адрес на порту. Или не давать вылазить с других МАК-адресов или сигнализировать, если с этого порта засветится чужой МАК. Обои случаи очень помогут во время работы icqsniff. В первом случае сразу будет видно с какого МАК-адреса идет поток АРП-флуда. Во втором случае можно будет видеть, с какого порта идет подмена МАК-адресов. И так и так получаем возможность точно определить источник. Жесткая привязка порта к МАК-адресу ещё резко снижает возможность хулиганства в сети.

2X-TZ: А если написать defroute=no и написать скрипт поднятия PPPoE соединения такой: <вызов программы для коннекта> route add default <шлюз>

2Fly48: Поднимет ли PVPGN доту?

2Z.TECH.comp: Разрешите узнать название вашей сети. И адрес сайта. Если не секрет конечно )

2Z.TECH.comp: Программы общения в сети - irc, имеющий линк в ирк-сеть. Ещё есть сервер jabber, но им мало пользуются. Непонятно выражение "IP-камер по всей зоне покрытия". Конкретно непонятно, что именно имеется в виду под зоной покрытия, да тем более всей. рассылка местной почты по почтовым ящикам - smtp/pop3 сервер ) Снятие денег прямо со счета за товары и услуги - нужно иметь лицензию на каждый такой вид деятельности. Насчет банковских кредитных экспертов - хз. В сети могут сидеть конторы, работающие с банками. У них свои проги, выданные банком. Они просто коннектятся к серверу банка и работают так же как аська, почта и т.д. P.S. Очень интересный взгляд на конец сети. Аргументируете? )

2Shubin: пожалуйста) Если возьмете, отпишись, как они в работе.

Чтоб он 100% все директории оббегал и качал недостающее/изменившееся.

2biz: биллинг - не шейпер, биллинг - АСР (автоматическая система расчетов). Но к UTM можно докупить модуль для шейпирования трафика. Хороший биллинг, очень функциональный, очень гибкий. Хотя есть некоторые плюшки, которые для для локальных сетей покажутся ненужными, странными или даже вредными. Но свою цену он отрабатывает на 200%. Кроме того, благодаря его огромной гибкости, на нем можно очень много чего накрутить. Разные сборщики статы о трафике, разные считалки, разные админки, сразу куча встроенных отчетов по услугам + можно прикрутить кучу веб-морд делает этот биллинг очень вкусным в своем ценовом ряде. Хотя конечно все упирается в руки. Как его настроишь, так он и поплывет... )

У нас работает такая штука: #!/bin/sh dir="/usr/local/ftp/pub/avp/" ps -ax | grep -q wget > /dev/null && exit for a in `/usr/bin/find $dir -name '.listing' -print` do /bin/rm -rf $a done /usr/local/bin/wget \ --mirror \ --verbose \ --tries=10 \ --background \ --span-hosts \ --timeout=60 \ --waitretry=10 \ --retr-symlinks \ --force-directories \ --no-host-directories \ --directory-prefix=${dir} \ --append-output=/var/log/avp_wget.log \ --exclude-directories=/beta/,/docs/,/html/,/index_new/,/products/,/sfupdates/,\ /trial/,/updates_x/,/updates_ext/,/bases_new/,/AutoPatches_new/,/index.html,\ /bases/as/,/utils/,/diffs/bases/as/,/patches/,/errors/,/zips/ \ ftp://downloads1.kaspersky-labs.com/ \ ftp://downloads2.kaspersky-labs.com/ \ ftp://downloads3.kaspersky-labs.com/ \ ftp://downloads4.kaspersky-labs.com/ \ ftp://downloads5.kaspersky-labs.com/ 0 3 * * * /usr/local/bin/avp_updater.sh Раз в сутки качает обновления для 5 и 6 касперского. Категорию продуктов, для которых качаются обновления, можно расширить, убрав папки из exclude-directories.

Да да, какие предъявы =)

2X-TZ: Напиши где-нибудь свой вопрос. Я в аське редко появляюсь в последнее время.

2mandriva: А оно вам тогда надо? ) P.S. Доки читать пробовали? Там все как раз для вас описано. Начиная с "windows для чайников", заканчивая чем-нибудь типа "построение локальный сетей".

http://lightcom.ru/production/ethernetswitches.asp

Обычно запускают брутфорсеры и icqsniff. Ну или идут по пути script-kiddy'сов или как там они называются. Спецов мало. *nix обычно ставят поиграццо или для понту.

2Amal: Это можно обойти, даже на винде. 2Queeq: На неуправляемых свичах - на 100% никак.