-
> Есть машина с Debian которая выполняет функции прокси(squid), и шлюза между подсетями
> 192.168.1.х и 192.168.2.х. 192.168.2.х - это "защищенная и секретная" подсесть
> в которой есть две машинки (192.168.2.10, 192.168.2.11 настройки сети для них
> выставлены ручками), --
> которые скрыты от 192.168.1.х за натом.
феерично. "скрыты за натом".... мля. это ппц, слов других просто нет.
>Обе подсети подключены к одной сетевухе с vlanom, К ноутам из первой подсети
> есть доступ только нескольким ресурсам: Серверу Exchange(192.168.1.253), файловому серверу(192.168.1.6), и серверу с интрасайтом(192.168.1.93).
Это как ? к ноутам из первой подсети (я так понимаю, слово первая - это или цифра 1 в 192.168.1.0/24 или первая в вашем списке - опять же 192.168.1.0/24) доступ "только нескольким ресурсам" - опять же в сети 192.168.1.0/24 - так какое же оборудование этот доступ ограничивает ? =) вы уж либо описывайте нормально, либо .... короче телепатов-угадывателей тут нету.
пунхт дфа: это как так - "у ресурсов есть доступ к ноутам" - бред. Обычно бывает наоборот, "у клиентов есть доступ к ресурсам"... Переделывайте.
> Проблема:
> При работе на ноутах в Outlook и acsses(база и PSTшник находиться на
> файловом сервере),
> примерно раз в час "теряется соединение" с базой и pst файлом,
мои зачатки телепатии говорят, что ноуты и файловый сервер находятся в одном физическом сегменте, и "маршрутизатор" тут совсем не при чем. Если это не так, то потрудитесь подумать и внятно объяснять, что у вас где и как.
> соответсвено все это хозяйство вылетает с ошибкой, при этом в винде
> ошибок подключения нет,при повторном запуске програм все работает(без перезагрузки ноута),
> а на шлюзе debian в tcpdump появляется вот это:
> 13:00:33.889739 arp who-has 192.168.2.11 tell 192.168.80.5
> 13:00:33.889896 arp reply 192.168.2.11 is-at 00:1d:72:02:33:0f (oui Unknown)
> Подскажите как это победить.
Если вам надо победить ровно арп-запросы (я так трактую слово "это", как то "это", что появляется в tcpdump) - то пропишите хосты (мак-адреса в ARP-таблицы) статически, командой arp. Вообще говоря, полное прописывание мак-адресов имеет и негативные side-эффекты, проявляющиеся в том, что коммутаторы могут перестать находить эти мак-адреса на своих портах. Но вы же хотите лечить следствие, а не причину (если понимаете о чем я)....
> Правила iptabels:
> -A FORWARD -m state -d 192.168.80.0/24 -i eth1 --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.253/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.6/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.252/32 -j ACCEPT
> -A FORWARD -s 192.168.2.0/24 -d 192.168.1.93/32 -j ACCEPT
Приведенные выше размышления о том, что маршрутизатор не участвует в коммуникации между некими хостами "ноут" и "файловый сервер" подтверждаются вашими правилами файрволла.
Если вы хотите что-то от кого-то скрыть, выкладывая информацию на форум для обсуждения, то делать это надо также с умом. Приведенные правила файрволла не пропустят никакой трафик из сети 192.168.1.0/24 в сеть 192.168.2.0/24. Задумайтесь, как ходят по сети пакетики, в одну сторону или в две... Рекомендую переделать (вдумчиво, после чтения документации по сетям).
> -A POSTROUTING -o eth1 -j MASQUERADE
а если бы была приведена еще и конфигурация сетевых интерфейсов.... ээххх, мечты, мечты...
Спасибо что стараетесь развивать наши телепатические навыки.
Интересно, как это вообще совмещается с вашим описанием:
>Обе подсети подключены к одной сетевухе с vlanom,
Наверное вы таки не понимаете, что такое виланы. Рекомендую ознакомиться, и, конечно же, переделать настройки.
> sysctrl Прописал:
> net.ipv4.conf.all.proxy_arp=1
> net.ipv4.ip_dynaddr=1
> net.ipv4.conf.all.arp_filter=1
> net.ipv4.conf.all.rp_filter=1
> net.ipv4.ip_forward=1
Ой какие красивые ручки. Дайте подергать.
Подергали ? Жаль, стрелочек нету :-) Ничо не показывает. И "не едет".
Объясните, хотя бы для себя, чо уж там, нам на форум не надо, чего вы хотели добиться выставляя каждый конкретный параметр.
Вариант для распечатки
on 21-Дек-13, 17:16 
