https://www.opennet.ru/openforum/vsluhforumID1/91376.html Здравствуйте!<br><br>Помогите разобраться с проблемой:<br>Имеем:<br>Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями 192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них выставлены ручками), которые скрыты от 192.168.1.х за натом. Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой подсети есть доступ только нескольким ресурсам: Серверу Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с интрасайтом(192.168.1.93). <br><br>Проблема:<br>При работе на ноутах в Outlook и acsses(база и PSTшник находиться на файловом сервере), <br>примерно раз в час "теряется соединение" с базой и pst файлом, соответсвено все это хозяйство вылетает с ошибкой, при этом в винде ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута), а на шлюзе debian в tcpdump появляется вот это:<br><br>13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80 https://www.opennet.ru/openforum/vsluhforumID1/91376.html#10 Sat, 21 Dec 2013 13:16:57 GMT Будет правильней написать так:<br>"какую информацию предоставить вам для того, чтобы решить мою проблему."<br>А то иначе получается что-то типа: "угадай какой я тебе вопрос задам."<br><br>Мимо проходил...<br> https://www.opennet.ru/openforum/vsluhforumID1/91376.html#9 Mon, 18 Apr 2011 06:46:11 GMT Настройки сети.<br>auto eth1<br> iface eth1 inet static<br> address 192.168.1.5<br> netmask 255.255.255.0<br> post-up iptables-restore &lt; /etc/iptables.up.rules<br><br>auto vlan3<br> iface vlan3 inet static<br> address 192.168.2.5<br> netmask 255.255.255.0<br> hwaddress ether 00:d0:b7:13:14:00<br> vlan_raw_device eth1<br><br>К Vlan3 подключены ноуты, к eth1 общая сеть.<br><br>&gt;Ну так нат это нат, а файрволл - это файрволл. <br><br>Спасибо кэп!<br><br>Дефолт гетевай - у ноутов Debian. У ресурсов свой. <br><br>&gt;Что еще вы нашли и скопипастили ?<br><br>Больше ничего.<br><br>ЗЫ.Вы напишите сразу список вопросов которые вам нужны, чтобы помочь решить мою проблему. <br> https://www.opennet.ru/openforum/vsluhforumID1/91376.html#8 Thu, 14 Apr 2011 18:58:27 GMT &gt; По поводу Nat: <br><br>Ну так нат это нат, а файрволл - это файрволл. <br><br>&gt; Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не <br>&gt; хорошо звучит, но оно лучше всего отражает суть вопроса.<br><br>В общем, если хотите чтобы вас поняли, старайтесь говорить на понятном языке.<br>Понятном теми, кому вы хотите информацию донести, а не так, как принято у вас "через переднюю пятку".<br><br>&gt; Схема такая: <br>&gt; &lt;Ресурсы&gt;--192.168.1.0--(192.168.1.5 &lt;Debian&gt; Vlan 192.168.2.5)----- 192.168.2.0--&lt;ноуты&gt; <br><br>А "ресурсы" и "ноуты" используют "Debian" в качестве шлюза по умолчанию, или предлагаете потелепатировать на эту тему ?<br><br> <br>&gt; Правила iptabels)): <br>&gt;&gt; -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT <br><br>Что еще вы выложили "видоизмененно" ? Предлагаете поугадывать ?<br><br><br>&gt; Признаю, что здесь все кроме последнего пункта скопипастил) Нашел где-то в инете <br>&gt; что должно помочь...<br><br>Что еще вы нашли и скопипастили ? <br><br>Я полагаю, что теперь систему надо переустанавливать и настраивать всё https://www.opennet.ru/openforum/vsluhforumID1/91376.html#7 Thu, 14 Apr 2011 18:46:58 GMT to: PavelR<br><br>По поводу Nat:<br> <br>На этих ноутах хранится очень важная информация, а в нашу сеть подключается много(192.168.1.0) левых тел(оутсорс всякий). По этому жители 192.168.1.0 не должны знать что в 192.168.2.0 вообще происходит, сколько машин там, и чем они там занимаются)<br>Я конечно понимаю что определение "у ресурсов есть доступ к ноутам" не хорошо звучит, но оно лучше всего отражает суть вопроса.<br> Схема такая: <br> <br> <br>&lt;Ресурсы&gt;--192.168.1.0--(192.168.1.5 &lt;Debian&gt; Vlan 192.168.2.5)----- 192.168.2.0--&lt;ноуты&gt;<br> <br> <br><br> Правила iptabels)): <br>&gt; -A FORWARD -m state -d 192.168.2.0/24 -i eth1 --state ESTABLISHED -j ACCEPT <br>&gt; -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT <br>&gt; -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT <br>&gt; -A F https://www.opennet.ru/openforum/vsluhforumID1/91376.html#6 Thu, 14 Apr 2011 13:59:22 GMT &gt;&gt; мак-адреса "протухают" гораздо быстрее, чем раз в час.<br>&gt; Но обрыв происходит примерно раз в час. И в tcpdumpe на этом <br>&gt; интерфейсе вылазит вот это: <br>&gt;&gt; 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5 <br>&gt;&gt; 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown) <br><br>а вы в тцпдамп не раз в час смотрите, а почаще. И побольше информации чтобы тцпдамп отображал, не только арп-запросы, но и всё остальное, может быть даже с ethernet-заголовками. Оно как бы полезно бывает.<br> https://www.opennet.ru/openforum/vsluhforumID1/91376.html#5 Thu, 14 Apr 2011 13:58:02 GMT -<br>&gt; Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями <br>&gt; 192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть <br>&gt; в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них <br>&gt; выставлены ручками), <br><br>--<br>&gt; которые скрыты от 192.168.1.х за натом. <br><br>феерично. "скрыты за натом".... мля. это ппц, слов других просто нет.<br><br>&gt;Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой подсети <br>&gt; есть доступ только нескольким ресурсам: Серверу Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с интрасайтом(192.168.1.93).<br><br>Это как ? к ноутам из первой подсети (я так понимаю, слово первая - это или цифра 1 в 192.168.1.0/24 или первая в вашем списке - опять же 192.168.1.0/24) доступ "только нескольким ресурсам" - опять же в сети 192.168.1.0/24 - так какое же оборудование этот доступ ограничивает ? =) вы уж либо описывайте нормально, либо .... короче телепатов-угадывателей тут нету.<br><br>пунхт дфа: это ка https://www.opennet.ru/openforum/vsluhforumID1/91376.html#4 Thu, 14 Apr 2011 13:48:28 GMT &gt; мак-адреса "протухают" гораздо быстрее, чем раз в час.<br><br>Но обрыв происходит примерно раз в час. И в tcpdumpe на этом интерфейсе вылазит вот это:<br>&gt; 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5 <br>&gt; 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown) https://www.opennet.ru/openforum/vsluhforumID1/91376.html#3 Thu, 14 Apr 2011 13:37:25 GMT &gt;&gt;&gt; 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5 <br>&gt;&gt;&gt; 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown) <br>&gt;&gt; Если у вас протухают маки, и именно из-за этого происходит такой разрыв <br>&gt;&gt; соединения, в чем я не уверен, то пропишите мак адреса <br>&gt;&gt; статиком двух своих секретных ноутбуков.<br>&gt; Прописал. Буду тестить. Но хотелось бы понять причину протухания.<br><br>мак-адреса "протухают" гораздо быстрее, чем раз в час.<br> https://www.opennet.ru/openforum/vsluhforumID1/91376.html#2 Thu, 14 Apr 2011 13:32:21 GMT &gt;&gt; 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5 <br>&gt;&gt; 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown) <br>&gt; Если у вас протухают маки, и именно из-за этого происходит такой разрыв <br>&gt; соединения, в чем я не уверен, то пропишите мак адреса <br>&gt; статиком двух своих секретных ноутбуков.<br><br>Прописал. Буду тестить. Но хотелось бы понять причину протухания.<br>