pavlabor 1,977 Posted 2012-11-28 19:56:05 Share Posted 2012-11-28 19:56:05 Прелюдия. Подключается пользователь, воткнулся в сеть, ему винда предлагает определится с сетью. Так вот, не зависимо с чем определился пользователь, он остается в пределах одной локальной сети. Пингуем со шлюза пинг проходит. Пингуем с другой сети, пинг на клиента уходит и блокируется. Проще сказать, винда, после выбора сети, выставляет правило, которое определяет локальную сеть по маске, остальное (10.х.х.х/х, 192.168.х.х/х....) блокирует. Перестают работать локальные ресурсы такие как ДС, чаты, и другие штуки пир-ту-пир. Падают системы мониторинга. От клиента сесии все исходят. Лечится путем установки правил, но то что с коробки все залочено, а руки до всего не дойдут, ведет к постепенному вымиранию локального трафика. Link to post Share on other sites
KaYot 3,732 Posted 2012-11-28 20:07:31 Share Posted 2012-11-28 20:07:31 Какой ужас! А мужики то не знали! © 1. ЛЮБАЯ система с включеным, но ненастроенным фаерволом ведет себя так же, и это правильно. 2. Кому сейчас нужны те локалки, чаты и ДЦ? Link to post Share on other sites
alsdfg 120 Posted 2012-11-28 20:13:55 Share Posted 2012-11-28 20:13:55 Какой ужас! А мужики то не знали! © Кому сейчас нужны те локалки, чаты и ДЦ? Полностью согласен. Link to post Share on other sites
Enferno 163 Posted 2012-11-28 20:22:17 Share Posted 2012-11-28 20:22:17 А я не согласен... уважаемые, а кто-то хоть раз в жизни пользовался .... Хотя нет, кто хоть раз в жизни слышал о серверах NNRP? А до сих пор ими пользуются сотни тысяч народа во всем мире т.к. удобно... Аналогично и локалки, чаты, дц... Это вам кажется что никто не пользуется, а для корпоративных сетей это то, что доктор прописал... Но, чтобы править баги винды надо: либо покупать лицензионный софт и задрачивать поддержку мелкософта, или же иметь в штате толкового админа. Кто ж виноват, что у нас словян это в крови - шара... Link to post Share on other sites
masters 126 Posted 2012-11-28 20:27:50 Share Posted 2012-11-28 20:27:50 Стандартное поведение 7ки. Отключаем Брандмауэр, в Дополнительных параметрах общего доступа включаем: 1. Включить сетевое обнаружение 2. Включить общий доступ к файлам и принтерам 3. Отключить общий доступ с парольной защитой Link to post Share on other sites
pavlabor 1,977 Posted 2012-11-28 20:34:23 Author Share Posted 2012-11-28 20:34:23 Какой ужас! А мужики то не знали! © Кому сейчас нужны те локалки, чаты и ДЦ? Полностью согласен. Вообщето... Ко мне обратилось учебное заведение, в котором 3 локальные сети, до 10 служб, порядка 600 собственных компов и 1000 студентов. Все построено на локальных IP, и буквально год назад все работало как часы, а этот год, админы вешаются. На 70% упал внутрений трафик и нужно ногами вгачивать каждому студенту службы, тот же файловый архив методичек. Причем через мир, работает как часы. Что получается может сам себе пофантазировать. Link to post Share on other sites
tivi 56 Posted 2012-11-28 20:45:22 Share Posted 2012-11-28 20:45:22 Какой ужас! А мужики то не знали! © Кому сейчас нужны те локалки, чаты и ДЦ? Полностью согласен. Вообщето... Ко мне обратилось учебное заведение, в котором 3 локальные сети, до 10 служб, порядка 600 собственных компов и 1000 студентов. Все построено на локальных IP, и буквально год назад все работало как часы, а этот год, админы вешаются. На 70% упал внутрений трафик и нужно ногами вгачивать каждому студенту службы, тот же файловый архив методичек. Причем через мир, работает как часы. Что получается может сам себе пофантазировать. нормальный ms-админ + ad + полиси - и все будет работать так как надо, а не так как хочет вин по умолчанию. и все изменения будут делаться централизованно, а не "вгачивать каждому студенту". Link to post Share on other sites
mr.Scamp 43 Posted 2012-11-28 20:49:27 Share Posted 2012-11-28 20:49:27 Фу, что за желтизна и истерия? Нормально работает файрволл в 7-ке; в случае, если приложение в нем разрешено, оно доступно снаружи. Link to post Share on other sites
KaYot 3,732 Posted 2012-11-28 21:56:24 Share Posted 2012-11-28 21:56:24 Ну и для того что б его отключить, не нужно учиться в беркли. И работает после отключения все так же как в XP. Link to post Share on other sites
zaborovsky 359 Posted 2012-11-28 21:58:03 Share Posted 2012-11-28 21:58:03 (edited) Лечится путем установки правил, но то что с коробки все залочено, а руки до всего не дойдут, ставите первичный и вторичный контроллеры домена (отдельные машины) поднимате на них виндовый домен (т.е. active directory вместо обычных рабочих групп), настраиваете групповые политики, все машины заводите в домен и рулите всем централизованно. вместе с доменной организацией сети бонусом получаете массу вкусностей в виде удаленного руления всем чем только можно практически без отрыва задницы от стула и вплоть до запретов пользователям запускать определенные программы и т.д. ведет к постепенному вымиранию локального трафика. какой кошмар... Edited 2012-11-28 22:01:10 by andytg Link to post Share on other sites
pavlabor 1,977 Posted 2012-11-28 22:19:25 Author Share Posted 2012-11-28 22:19:25 Как все просто... берем на работу админов, в каждую сетку ставятся дополнительные тазики...., потом админов на винду, линух, мак, фрю.... потому что хомякам это не нужно, им инет подавай, типа ж бабки плачу! Почему не написать проще - Win7 убивает локалки. А делов то - с коробки лочится локальная сеть. Лично я считаю, что это баг в голове у виндозных менеджеров. Можно подумать что инет это не та же локалка, только в пределах мира. И можно подумать что если гейс перекроет доступ с 1000-10000 локальных ip, то винда станет менее уязвимой. Но вы умничайте, один фиг оно мне не нужно, просто обращаю внимание локальщиков, на причину снижения локального трафика в сторону внешнего. Для провайдеров у кого сети построены на локальных ип дополнительные грабли, увеличение расходов на внешних каналах, из расчета гривня на клиента в месяц, потеря связности сегментов. ps Не воспитаные дятлы. Link to post Share on other sites
mr.Scamp 43 Posted 2012-11-28 22:40:55 Share Posted 2012-11-28 22:40:55 Почему не написать проще - Win7 убивает локалки. А делов то - с коробки лочится локальная сеть. Что лочится? Входящий ICMP? Как это влияет на связность в локальных сетях? Входящий NetBIOS извне доверенного сегмента? Тоже плохо? Нет "сетевого окружения" во всю зону покрытия сети? Повторюсь, открытие сокета для входящих подключений любой программой, приведет к запросу на разрешение подключений. Если юзер сказал "да", они будут приниматься. Можно подумать что инет это не та же локалка, только в пределах мира. И можно подумать что если гейс перекроет доступ с 1000-10000 локальных ip, то винда станет менее уязвимой. Но вы умничайте, один фиг оно мне не нужно, просто обращаю внимание локальщиков, на причину снижения локального трафика в сторону внешнего. Вот именно, та же локалка. С расширением полос и отказом от лимитов трафика локальные сервисы потеряли свою значимость, многие пользователи о них даже не задумываются, они вне их кругозора. ps Не воспитаные дятлы. NO U PS. Внеплановая кормежка троллей? ;-) Link to post Share on other sites
zaborovsky 359 Posted 2012-11-28 23:33:12 Share Posted 2012-11-28 23:33:12 просто обращаю внимание локальщиков, на причину снижения локального трафика в сторону внешнего.с увеличением скоростей доступа смысл существования локалок исчез.раньше локалки были нужны для чего? -- для концентрации контента внутри сети и уменьшения полезной нагрузки на внешние каналы (т.е., иными словами, чтоб юзер каждый раз за фильмом лез не в мир, а качал единожды закачанное уже с локального ресурса). а сейчас, когда скорости позволяют скачать к примеру тот же фильм за 5 минут -- к чему стали нужны локалки? скоро подрастет поколение пользователей, которое и знать не будет, что это такое (как например, сейчас юзеры не знают, что такое дискета (см. пункт 2 по ссылке), а некоторые -- и зачем нужен CD) Link to post Share on other sites
nightfly 1,252 Posted 2012-11-29 00:02:40 Share Posted 2012-11-29 00:02:40 Но вы умничайте, один фиг оно мне не нужно PS. Внеплановая кормежка троллей? ;-) тсссс, не пали контору Не воспитаные дятлы. Link to post Share on other sites
LV10 282 Posted 2012-11-29 00:43:10 Share Posted 2012-11-29 00:43:10 Аналогично и локалки, чаты, дц... Это вам кажется что никто не пользуется, а для корпоративных сетей это то, что доктор прописал... для корпоративных сетей доктор немного другое прописал. не нужно играть в хоккей на футбольном поле Link to post Share on other sites
LV10 282 Posted 2012-11-29 00:45:42 Share Posted 2012-11-29 00:45:42 да и понятие "Локальная сеть" скоро вымрет Link to post Share on other sites
pavlabor 1,977 Posted 2012-11-29 05:11:20 Author Share Posted 2012-11-29 05:11:20 Что лочится? Входящий ICMP? Как это влияет на связность в локальных сетях? Входящий NetBIOS извне доверенного сегмента? Тоже плохо? Нет "сетевого окружения" во всю зону покрытия сети? Повторюсь, открытие сокета для входящих подключений любой программой, приведет к запросу на разрешение подключений. Если юзер сказал "да", они будут приниматься. Про этот косяк я и пишу. Если сказал "да", программа доступна для всех публичных IP и IP ограниченых маской локальной сети сегмента, с других сегментов локальных сетей 10-..., 192.186...., программа не отвечает. Проверял на сетевых игрушках, ДЦ. В ДЦ-ехе проверяется получением списка файлов, с локального, внешнего ип, с ХП в других локальных сегментах - файли получаются, с семерки нет. Пинг, с шлюза пингется, через роут с другого сегмента нет. Запросы уходят, ответов от семерок нет. Копался два вечера, понял что без принудительного вмешательства вопрос невозможно решить. Сейчас думаю какая должна быть реакция, регламент поддержки на подобные вопросы. Дело в том что данная ситуация - официальная позиция разработчиков винды, предлагать отключать фаервол, разрешать доступ к 10...., 192.168..., это вмешательство в политику безопасности разработчика, что чревато жалобам, судам со стороны хомяков и юридически, при падении винды, а рано или позно она упадет, при всех умностях выше грамотнонаписавших админов- хомяк окажется прав. У нас по городу, локальный трафик упал с 500 мегабит, до 50, ходить и править фаервол для 10-15 тыс абонов никто не будет. Даже внутри своей сети, получается нужно брать двух человек, админа и юриста, админ ходит правит фаервол, юрист в суде доказывает что даные изменения фаервола, не являются причиной падения винды. Проверяйте. Потому что все выше написаные рекомендации - слова не стой песни. Потом стоит подумать, есть ли проблема и варианты, как ее решить малой кровью. Подозреваю что косяк образуется в момент выбора расположения сети - домашняя - предприятия - общественная Кстати, кто считает что у него таких проблем нет, просьба всякую фигню сюда не писать. Link to post Share on other sites
martin 170 Posted 2012-11-29 07:23:12 Share Posted 2012-11-29 07:23:12 оно вам надо ?? упал трафик - это же отлично ) Внутренняя сеть умерла еще пару лет назад, не занимайтесь ерундой, у меня вообще доступ между юзерами закрыт Link to post Share on other sites
endo 101 Posted 2012-11-29 07:27:41 Share Posted 2012-11-29 07:27:41 В курпных городах может и умерла. А вот там где инет дорогой и медленный, еще актуально. Link to post Share on other sites
KaYot 3,732 Posted 2012-11-29 07:54:42 Share Posted 2012-11-29 07:54:42 Копался два вечера, понял что без принудительного вмешательства вопрос невозможно решить. Сейчас думаю какая должна быть реакция, регламент поддержки на подобные вопросы. Дело в том что данная ситуация - официальная позиция разработчиков винды, предлагать отключать фаервол, разрешать доступ к 10...., 192.168..., это вмешательство в политику безопасности разработчика, что чревато жалобам, судам со стороны хомяков и юридически, при падении винды, а рано или позно она упадет, при всех умностях выше грамотнонаписавших админов- хомяк окажется прав. Вообще-то это называется не 'вмешательство', а банальная настройка фаервола. Не умеешь использовать(настраивать) - выключи, умеешь - добавь 1 правило на разрешение входящих соединений нужной программе, благо в винде это делается довольно просто. IMHO принудительный запрет всего на вход - абсолютно верная реализация с точки зрения безопасности, если вы хотите кого-то к себе пускать - будьте добры, пропишите разрешение. Да, теоретически провайдерам это дает какой-то вред(ретрекеры могут не работать нормально), но практически тот же utorrent замечательно сам себя добавляет в разрешение фаервола и никаких проблем нет. Остальной трафик для провайдеров мусорный, и хорошо что его нет. Link to post Share on other sites
yama 21 Posted 2012-11-29 11:02:31 Share Posted 2012-11-29 11:02:31 для конечного пользователя вин 7 настойка папки на общий доступ слишком сложный процесс часто люди используют флешку\скайп и т.п. для переноса файла межуд ПК в одной комнате - это быстрей чем разбираться с насстройкой вин 7. Link to post Share on other sites
dandul 44 Posted 2012-11-29 12:21:06 Share Posted 2012-11-29 12:21:06 По умолчанию настройки файрвола (брандмауэра - плиать придумали ж) сбросить, и при первом запуске приложения, которое хочет в сеть - разрешить доступ в сплывающем окне. Доступ к папке, кому нужно, сами разберутся, там тож одну галку поставить, а дальше по аналогии как в хп. Link to post Share on other sites
ARA 0 Posted 2012-11-29 12:43:09 Share Posted 2012-11-29 12:43:09 для конечного пользователя вин 7 настойка папки на общий доступ слишком сложный процесс часто люди используют флешку\скайп и т.п. для переноса файла межуд ПК в одной комнате - это быстрей чем разбираться с насстройкой вин 7. в скайпе все просто, есть 2 компа в 1 сети то у них подключение прямое, без использование мира Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now