LINUX.ORG.RU
ФорумAdmin

Шлюз, непонятные доменные имена машин в локальной сети


0

1

Такая вылезла штука, есть шлюз с прокси (squid, проксирует только http), спокойно себе работает, но заметил косяк, почему такие странные имена в сети у машин?

ip13.net1.prv

Соответственно ip13 это адрес ПК (сеть 192.168.1.0).

Я так понял, машины ломятся наружу, и имена получают от провайдера. Обнаружил это сегодня, когда умер DNS у провайдера, и пару принтеров отказались работать (HP8000). Т.к. Были настроены через виндовую утилиту HP, и она их подцепляла по этому имени.

root@proxy:/home/tim# iptables-save 
# Generated by iptables-save v1.4.8 on Wed Nov 16 21:19:08 2011
*nat
:PREROUTING ACCEPT [1398634:108315034]
:POSTROUTING ACCEPT [1458719:99021635]
:OUTPUT ACCEPT [1185623:80273072]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 10.10.102.57/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.225:3389 
-A POSTROUTING -d 192.168.1.225/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 110 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 25 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 465 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 995 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 20 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 8585 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 22 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 443 -j SNAT --to-source 10.10.102.57 
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 8530 -j SNAT --to-source 10.10.102.57 
COMMIT
# Completed on Wed Nov 16 21:19:08 2011
# Generated by iptables-save v1.4.8 on Wed Nov 16 21:19:08 2011
*filter
:INPUT ACCEPT [178805160:86675485344]
:FORWARD ACCEPT [18479622:9976059966]
:OUTPUT ACCEPT [129278984:386633105732]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT 
-A INPUT -i eth0 -m state --state INVALID,NEW -j DROP 
COMMIT
# Completed on Wed Nov 16 21:19:08 2011

Надо что-то закрыть?

★★

Чувак, попытайся прочитать, что ты написал, и что ты хочешь. Вообще ничего не понятно.

Mr_Alone ★★★★★
()
Ответ на: комментарий от Sora

Ну я так понял у тебя стоит роутер который есть и шлюзом и ДНС для стационарных машин ? в настройках модема\маршрутизатор поменять ДНС провайдера на ДНС гугла 8.8.8.8 ... Или на кройняк сменить настройки в ручную на самих стационарных машинах указав 8.8.8.8 как ДНС

Tok ★★
()
Ответ на: комментарий от Sora

Мне что ли свой dns сервер поднимать?

странно что его у вас ещё нет.

Судя по вопросу и правилам iptables - имеются статические IP, шары на уровне Win for WG, внутренняя почта через Яндекс и внешнее админство по RDP и TeamViewer... жесть какая в 21 веке

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Статического ip нету дается по DHCP, но не менялся уже 4 года. Если его вручную прописать не прокатит. По rdp не админится ничего, главбух из дома сидит в 1с. Teamviewer тоже нема. Внутренней почты нету. 3 ящика внешних. Что за «шары на уровне Win for WG»?

Sora ★★
() автор топика
Ответ на: комментарий от Sora

Статического ip нету дается по DHCP, но не менялся уже 4 года

а как-же вы имена-то машинам назначаете?

Что за «шары на уровне Win for WG»?

это security=share в конфиге samba

кстати, у вас открыта прокси снаружи "-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128;...; -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT"

p.s.) dns+dhcp+kerberos+samba+ldap=некоторое подобие AD. Это уже стандарт де-факто для корпоративной сети. И его отсутствие должно как-то серьёзно обосновываться.

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Шары нету. Есть накопитель Netgear ReadyNAS DUO, к нему маки старые(G4) по AFP подключаются, а Win по smb...

Имена у Win машин просто типа buh-00. У нас много машин с Win7Started/Win7HB (До меня все покупалось) + Сетевой накопитель с доменом не умеет работать.

Прокси не открыта, указан же интерфейс "-A PREROUTING -i eth1"

Sora ★★
() автор топика
Ответ на: комментарий от Sora

кароче, ты уж не обижайся, но базовая сетевая инфраструктура в твоей фирме находится в состоянии «бардак, но оно работает, а как - хз». Подымай свой DNS, раздай его адрес по DHCP, руби исходящие с клиентов DNS-запросы через шлюз во внешку. Это программа-минимум...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Спс за советы огромное, я и не отрицаю что все плохо. Одно то, ни один разъем на патч-панелях в стойках не был обозначен (а розеток сетевых штук 200+200 телефонных.), и выглядело это как «Шкаф набитый перепутанной кучей проводов.»

Плюс все коннекторы абы как обжаты (все патч-корды самодельные были). Только навел порядок, все пронумеровал, патч-корды новые литые везде. Плюс шлюз был на UserGate ломанном, который раз в день умирал и скорость была ппц. Перевел на Debian + Squid, скорость инета взлетела. Плюс поднял ejabberd, все счастливы «Внутренней аське».

Короче куча еще работы. От прошлого админа много бардака осталось. Не понимаю чем он вообще занимался. Все не успел еще переделать. Просто в таких небольших конторах напрягают всякой сторонней работой. Вчера пробивал дырку в стене 60х12см. Сегодня устанавливал вытяжку для того чтобы испарения с плоттера вытягивать....

Sora ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.