[rivera]

спасибо за совет.
файрвол может быть трехсторонний, теоретически, там может быть столько сторон, сколько сетевых карт.

>"Если б я была царица", я бы всю твою сеть посадил на стандартные 192.168.0.ХХХ, а потом в фаерволе бы писал кому, куда и когда можно отправлять/получать в 10.30.х.х

я так и хочу! только спрашиваю, необходимо-ли компам, которые будут получать/отправлять в сеть 10.х.х.х иметь адрес 10.х.х.х?
Видимо нет необходимости. главное прально настроить файрвол.

а если не будет у моих машин адреса сети 10.х.х.х, то получается что файрвол делит две сети!


Эх-х...по теории все должно получаться, а у меня ничегошеньки не пашет! мож кто еще чем поможет?!

[VKK]

> необходимо-ли компам, которые будут получать/отправлять в сеть 10.х.х.х иметь адрес 10.х.х.х?

Нет. Но им нужно знать имя и IP адрес компьютера с фаерволом, который выступает в таком случае сервером подсети.

Также очень помогло бы знать, под чем работают станции (Win 98, Win 98 SE, Win XP Home, Win XP Prof). У них весьма разный набор глюков. Если там OS-коктейль, то скажи преобладающую OS. Я дам конфиг под нее, а остальных сам домучаешь.

[rivera]

winxp и win2k работают пополам!
выбирай!!! где тие легче!

[rivera]

извини...надо было по вежливее!
ничего если я на "ты"?

[VKK]

Ладно, поехали.

Только чур в случае чего меня не искать для набития морды! :-)

Считаем что комп с фаерволом (далее - Сервер) у тебя под Win XP Prof.

Кстати о "куче станций" - ты уже наверное знаешь, что у Win XP Prof стоит блок на 10 одновременных подключений максимум? (Win XP Home - 5) Так как одно соединение всегда занято для связи с 10.30.х.х, то только 9 станций из твоей сети могут одновременно подключаться к серверу/ходить по Интернету. 10ая станция получит "Network connection error" и открытку от дяди Билла. Если это никак не подходит, то ставь Unix-server.

Проверь чтоб все станции имели разные имена, но были в одной группе (например, "MYLAN", "FOOBAR" или чего хочешь): Система > Имя компьютера

Потом на каждой станции я бы прописал fixed IP начиная с 192.168.0.253 и вниз (потому как динамические IP назначаются от 192.168.0.0 и вверх. Так что в случае чего конфликтов адресов не случится.) Всякие упоминания об 10.30.х.х выкидываем.

А Сервер пусть будет 192.168.0.254 (большому кораблю - большой IP)

Потом на каждой станции в TCP/IP прописать 192.168.0.254 как шлюз, и те DNS, которые у тебя стоят на Сервере для подключения к 10.30.х.х

Потом на Сервере... Уж не знаю, ни разу не сажал две сети на одну карту. Но ты, видимо, это уже сделал. В общем, там должно быть два соединения минимум: одно для 10.30.х.х, другое для твоей сети.

10.30.х.х шарим ("Разрешить другим пользователям бла-бла-бла").

Твой LAN еще раз проверяем: IP 192.168.0.254, маска 255.255.255.0, прочую лабуду нах.


Перекреститься, перезапустить, еще раз перекреститься и проверить сеть. Если работает, начинай писать фильтры для фаервола. Если всё нае....ся, бери палку покрепче и иди разбираться с известными ё...нными знатоками в OSZone :-)

[rivera]

сажать две сети на одну сетевуху можно! Но поставить на такую машину файрвол - нет, т.к. файрволу физически необходимы внешняя и внутренняя сеть. Если я поставил файрвол, значит у меня два сетевого интерфейса.
Проблем с динамическими адресами и разрешения имен хостов у меня нет, поэтому я думаю что давать статичные адреса компам которые будут выходить в и-нет не буду.
мне надо проверить прописан ли ДНС сервер на файрволе, и расшарить сетевое подключение которое выходит во внешнюю сеть!
буду стараться!
о результатах доложу!

[rivera]

результат плачевный! т.е. см. пост 1 =-))

[rivera]

можете посоветовать какой нить другой файрвол для защиты сети средних масштабов?

[RaZZoRRo]

ISA server

[AlexKKK]

Цитата:

результат плачевный! т.е. см. пост 1 =-))

А Ты в таблице маршрутизации фаервола обе сети прописал?
Насколько я помню если какая-то сеть не прописана в фаерволе то он считает что к Твоей родной сети подключена вражеская и с нее пытаются достучаться, что фаервол успешно блокирует..