отдавливаю мозоли, дорого.
Помогите ламеру разобраться %).
Ситуация - небольшая сеть. Диапазон адресов 10.10.10.х . Вышеупомянутый прокси-сервер.
Если в built-in сетку Internal вписываешь диапазон адресов 10.0.0.0-10.255.255.255, то все работает. В Network rules, соответственно, прописано разрешение трафика между Internal и External сетями.
Если же в Internal вписать диапазон 10.10.10.0-10.10.10.255, то начинаются чудеса - на комп, где работает ИСА, по сети влезть невозможно, в Интернет все сразу и резко отказывается ходить и так далее.
Никак не могу разобраться, из-за чего это?
А вообще - необходимо было поделить сеть на две подсети; из одной доступ в Интернет не ограничивать, из другой - оставить только на несколько сайтов. При попытке это реализовать на совершенно непользованной до того 2004й ИСЕ наткнулся на множество проблем
...
Ситуация - небольшая сеть. Диапазон адресов 10.10.10.х . Вышеупомянутый прокси-сервер.
Если в built-in сетку Internal вписываешь диапазон адресов 10.0.0.0-10.255.255.255, то все работает. В Network rules, соответственно, прописано разрешение трафика между Internal и External сетями.
Если же в Internal вписать диапазон 10.10.10.0-10.10.10.255, то начинаются чудеса - на комп, где работает ИСА, по сети влезть невозможно, в Интернет все сразу и резко отказывается ходить и так далее.
Никак не могу разобраться, из-за чего это?
А вообще - необходимо было поделить сеть на две подсети; из одной доступ в Интернет не ограничивать, из другой - оставить только на несколько сайтов. При попытке это реализовать на совершенно непользованной до того 2004й ИСЕ наткнулся на множество проблем
...
-
-
28.08.2005 в 19:26А особенно внутренний адрес компа на котором прокся висит.
-
-
28.08.2005 в 19:27Адрес прокси там же.
-
-
28.08.2005 в 19:35Диапазон адресов 10.10.10.х
Адрес прокси там же.
Ой мля.. Просмотрел...
А что если дианозон 10.10.255.255 поставить??
Попробуй найди то место с которого перестает работать.
Маска подсети какая?
-
-
28.08.2005 в 19:44Диапазоны... Мне влом на десятке компов вручную править айпишники, прыгая вокруг офисных работников.
Кроме того - суть-то исходной задачи:
необходимо было поделить сеть на две подсети; из одной доступ в Интернет не ограничивать, из другой - оставить только на несколько сайтов.
Т.е. на две подсети именно в ИСЕ, не ковыряясь в айпишниках рабочих станций.
Тупо - сетка Allowed 10.10.10.0-10.10.10.100, сетка Restricted 10.10.10.101-10.10.10.255.
И одной разрешить всё, другой - с ограничениями.
Вот, собсно, и возникла в итоге проблема. Ну не дружит оно с такими диапазонами.
-
-
28.08.2005 в 19:58Я имел ввиду не диапозон адресов рабочих станций, а Internal диапозон на проксе ))
Если же в Internal вписать диапазон 10.10.10.0-10.10.10.255
Впиши вместо 10.10.10.255, 10.10.255.255 и посмотри что будет.
Я не проф в этих вещах.. Но ИМХО все дело в классах подсетей.
-
-
28.08.2005 в 20:04Возможно, ты и прав. У меня уже почти абстрактный интерес - что и откуда такое вот лезет?
Ещё к тому же при росписи подсеток становится невозможно попасть из одной в другую %). Чудеса, мля.
-
-
28.08.2005 в 20:11Найди яндексом или гуглом что-нибудь про подсети и почитай.
Большая вероятность того, что ответ будет лежать на поверхности.
И вообще, посмотри что такое маскарадинг, под линухом вроде его юзают, что бы решить такую задачу.
-
-
29.08.2005 в 09:02> необходимо было поделить сеть на две подсети; из одной доступ в Интернет не ограничивать, из другой - оставить только на несколько сайтов
Для этого сеть не обязательно делить на две подсети в физическом смысле. Домен, я так понимаю, есть? Клиенты авторизируются на прокси? Вот и запретить доступ тем, кому не надо.
-
-
29.08.2005 в 09:16Пожалуйста, опиши всё по возможности подробно.
Какие сервисы подняты на сервере? Есть ли домен? Какие ещё сервера работают в сети? Каковы настройки на клиентских компах (процитируй сюда результат выполнения команды ipconfig /all) ? Адреса присваиваются через DHCP или назначены статически? Почему для сетки из 10 компов потребовалось ставить ISA? (достаточно утилит класса WinGate; я рекомендовал бы использовать Traffic Inspector). Как реализован доступ в интернет? Какие ОС стоят на клиентах и на сервере?
-
-
29.08.2005 в 09:21Я так понимаю, там должен быть прописан диапазон адресов, соответствующий диапазону вашей локальной сети. То есть для маски 255.0.0.0 это будет 10.0.0.1-10.255.255.255, а для маски 255.255.255.0 - соответственно, 10.10.10.1-10.10.10.255. Иные настройки неверны - возможно, в этом и кроется проблема.
-
-
29.08.2005 в 11:07Про маску согласен... Незря я про нее спрашивал 8)))
-
-
29.08.2005 в 11:22Сеть и без меня поделена на две физических подсетки (если ты имеешь в виду именно разводку).
Домена нет %)). И хрен мне дадут его там поднять.
Про сервисы - не уверен точно, вроде никаких (кроме стандартных/необходимых).
Серверов более никаких. ipconfig процитировать смогу завтра (или даже послезавтра), пока же - везде статические IP с маской 255.0.0.0. ИСУ ставил не я и что-то менять было жутко влом (стоит-работает - что ещё надо); вроде пока все.
Видимо, вы оба правы про маску подсети; если именно тут загвоздка...
На днях проверю, если прокатит - вопрос снимется сам собой.
для маски 255.255.255.0 - соответственно, 10.10.10.1-10.10.10.255 т.е. маску править на клиентских машинах (просто уточняю на всякий случай - ведь вроде больше и негде) ?
Называется, надо было внимательней изучать TCP/IP
-
-
29.08.2005 в 15:27А такие вещи объясняют на парах в любом колледже(и выше) если на программера или технаря учишься..
-
-
29.08.2005 в 17:04-
-
29.08.2005 в 18:16-
-
29.08.2005 в 18:24Не то чтобы я против, но сие утверждение имхо некорректно.
Если возникло желание поспорить - прошу на icq/u-mail/e-mail. Не надо оффтопа.
-
-
30.08.2005 в 17:41Может подробнее описать топологию сети? Между ними двумя стоит роутер, так? Или просто два свитча, соединённых друг с другом? И где именно стоит комп с ISA?
Кстати, если домена нет и не предвидится, тогда ISA там не нужна. Советую поставить UserGate или Traffic Inspector.
Далее. Маска подсети настраивается на любом хосте сети. Нужна она для того, чтобы хост мог отличить внутренние адреса от внешних. Если адрес, с которым хосту нужно соединиться, влазит в диапазон, задаваемый маской, то пакеты на этот адрес отправляются непосредственно по MAC-адресу требуемого компа. Если же оказывается, что адрес внешний, то пакеты отправляются по MAC-адресу шлюза, прописанного в свойствах tcp-ip данного хоста.
-
-
30.08.2005 в 18:49Подробнее описывать - уверен, что есть смысл? Там всего десяток компов %).
ISA, может, и не нужна. Упомянутые тобой программы обладают схожими возможностями?
За краткую выжимку о маске большое (!) спасибо %).
-
-
31.08.2005 в 13:33Перечисли, какие конкретно тебе нужны возможности.
По-моему там простого UserGate 3.0 хватит.
-
-
31.08.2005 в 18:33На мой взгляд, ИСА перечисленным обладает вполне.
-
-
01.09.2005 в 12:28Я бы всё же советовал использовать Traffic Inspector:
http://www.smart-soft.ru/