форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"AT 745 (рутер+firewal+nat)"
Сообщение от Remy on 09-Сен-05, 11:28  (MSK)
доброе время суток, сразу прошу прощения, за ошибки в формулировке, ситуация такова: Стоит рутер AT-745, стоит как рутер, firewall и NAT, за ним идет сеть на W2k3, AD, DNS, FS, MAIL, SQL, TS PROXY и т.д. ну и соответственно клиенты. DNS поднят в сети и прописан на рутере (192.168.2.1) фаервольными правилами к нему разрешено обращаться, так же как и к почтовику, терминалу и т.п. это все для представления. вопрос: если из сети обращаться например к терминалу, то можно использовать, только его локальное имя или IP, например 192.168.2.5 или terminal-spb если же ввести terminal.domain.ru - то получишь фиг в нос. из вне естественно все работает. тоже самое и с почтой и с www и другими сервисами. Я подозреваю, что проблема в NAT и DNS, подскажите кто сталкивался с подобным и в какую сторону копать. + вчера настраивая syslog и отправку логов с рутера на почту, опять же столкнулся с этой проблемой, письма на mail.ru уходят а если отправлять на внутренний MAIL, висят в очереди.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "AT 745 (рутер+firewal+nat)"
Сообщение от GreatFoolDad (ok) on 09-Сен-05, 11:37  (MSK)
Что-то похожее я встречал. Снаружи я по имени без проблем попадал на свой почтовик, а изнутри  - нет. ДНС-сервера, правда не было - пользовался внешним. Пришлось поднять локальный ДНС-сервер, где прописал доступ по локальным адресам к почте (и что там еще было). А за всеми остальными разрешениями имен он отпралял на внешний ДНС-сервер. Т.е. в твоем случае надо разделить доступ по имени к вебу (например) снаружи и изнутри - они ж будут по разным адресам обращаться. (если не в тему - приношу пардон)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "AT 745 (рутер+firewal+nat)"
	Сообщение от Remy on 09-Сен-05, 11:45  (MSK)
	>Что-то похожее я встречал. >Снаружи я по имени без проблем попадал на свой почтовик, а изнутри > - нет. >ДНС-сервера, правда не было - пользовался внешним. >Пришлось поднять локальный ДНС-сервер, где прописал доступ по локальным адресам к почте >(и что там еще было). А за всеми остальными разрешениями имен >он отпралял на внешний ДНС-сервер. >Т.е. в твоем случае надо разделить доступ по имени к вебу (например) >снаружи и изнутри - они ж будут по разным адресам обращаться. > >(если не в тему - приношу пардон) Да, мне предлагали подобную подмену, но хочется разобраться.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "AT 745 (рутер+firewal+nat)"
Сообщение от toor99 (ok) on 09-Сен-05, 11:40  (MSK)
Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас BIND, используйте его фичу "view". Смысл в том, чтобы одно и то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл запрос.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "AT 745 (рутер+firewal+nat)"
	Сообщение от Remy on 09-Сен-05, 11:51  (MSK)
	>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас >BIND, используйте его фичу "view". Смысл в том, чтобы одно и >то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл >запрос. Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли, что дело в НАТ, я как бы закольцовываю запрос обращаясь к внутренним сервисам по реальным именам. Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм адресом из вне! Может я конечно бред несу, но как-то так мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты с локальными адресами, так как у них высокий приоритет, а такие запросы посылать в обход НАТ.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "AT 745 (рутер+firewal+nat)"
	Сообщение от GreatFoolDad (ok) on 09-Сен-05, 12:34  (MSK)
	При таком раскладе может просто обойтись файлом hosts?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "AT 745 (рутер+firewal+nat)"
	Сообщение от Remy on 09-Сен-05, 13:24  (MSK)
	>При таком раскладе может просто обойтись файлом hosts? на всех машинах?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "AT 745 (рутер+firewal+nat)"
	Сообщение от toor99 (ok) on 09-Сен-05, 13:04  (MSK)
	>>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас >>BIND, используйте его фичу "view". Смысл в том, чтобы одно и >>то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл >>запрос. > > >Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли, >что дело в НАТ, я как бы закольцовываю запрос обращаясь к >внутренним сервисам по реальным именам. > >Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний >IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм >адресом из вне! Может я конечно бред несу, но как-то так >мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты >с локальными адресами, так как у них высокий приоритет, а такие >запросы посылать в обход НАТ. Да, так делать можно. Но всё-таки более правильный (да и простой) выход - это split DNS.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "AT 745 (рутер+firewal+nat)"
	Сообщение от Remy on 09-Сен-05, 13:22  (MSK)
	>>>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас >>>BIND, используйте его фичу "view". Смысл в том, чтобы одно и >>>то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл >>>запрос. >> >> >>Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли, >>что дело в НАТ, я как бы закольцовываю запрос обращаясь к >>внутренним сервисам по реальным именам. >> >>Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний >>IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм >>адресом из вне! Может я конечно бред несу, но как-то так >>мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты >>с локальными адресами, так как у них высокий приоритет, а такие >>запросы посылать в обход НАТ. > >Да, так делать можно. Но всё-таки более правильный (да и простой) выход >- это split DNS. Тогда можно подробнее чуток.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "AT 745 (рутер+firewal+nat)"
	Сообщение от ruff (ok) on 09-Сен-05, 17:27  (MSK)
	>>Да, так делать можно. Но всё-таки более правильный (да и простой) выход >>- это split DNS. > >Тогда можно подробнее чуток. http://cr.yp.to/djbdns.html поставить это чудо, он лепится к интерфейсам, на внешнем поднять зону, на внутреннем кеш, с форвардом на внешний. В файле данных определит скоп например %lo:192.168 %ex а затем используя этот скоп разрисовать зону, например =mail.domain.ru:1.2.3.4:::ex =mail.domain.ru:192.168.2.1:::lo
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.