Есть маленький сервер, который раздаёт интернет с помощью squid. Чтобы в большой сети найти мой маленький сервер использую wins, но возникли некоторые проблемы.Компьютеры, которым нужно раздавать интернет находятся в разных подсетях. Ip получают с dhcp-серверов. При раздаче ip везде используется один и тот же wins-сервер: 192.168.54.1, однако в силу великой мудрости системных администраторов(не одного!) - одни компьютеры, которые находятся в подсети 192.168.54.0 могут видеть 192.168.54.1, другие же 192.168.52.0 не видят 192.168.54.1.
В этой чудесной истории я не являюсь системным администратором, который может добраться до 2 админов или dhcp-серверов, дабы настроить их как-то по-человечески (серверы+админов)...
Однако я не сдался и сделал 2 провода - один в свитч с работающим dhcp-сервером подсетки 1(192.168.54.0) и второй в свитч 2(192.168.52.0). Ну и оба провода в свою тачку, которая раздаёт бесплатный интернет.
Таким образом моя тачка получает 2 ip в посети 192.168.54.0 и подсети 192.168.52.0. Первоначально - я не использовал wins-сервер, дабы не связываться с админами никак. Прописывал, на компьютерах, которые хотели интернета ip моей тачки с прокси-сервером... Но, конечно, это долго продолжаться не могло и в конце концов ip тачки сменился...
Для того чтоб передавать wins-серверу имя сервера решил использовать самбу. Однако, это произвело какой-то странный эффект - мне позвонил один из админов и сказал, что данный сервер мешает работе wins-сервера. Спамит его. Вот конфиг самбы:
[global]
workgroup = WORKGROUP
dns proxy = no
domain master = no
preferred master = no
#max ttl = 259200
#max wins ttl = 518400
name resolve order = wins bcast dns
wins proxy = no
wins support = no
wins server = 192.168.54.1
os level = 1# Disable printer support
load printers = no
show add printer wizard = no
# printing = NONE
printcap name = /dev/null
disable spoolss = yesmap to guest = Bad User
force directory mode = 777[shar]
path = /home/2
public = yes
writeable = yes
read only = No
guest ok = yes
directory mask = 0777
create mask = 0777Как я понимаю в этом конфиге отключено всё, что возможно.
Сервер: Debian wheezy. Squid+Samba+Dansguardian+isc-dhcp-client
Пожалуйста подскажите: могу ли я, настроить частоту обращения к wins-серверу? Вариант - "найти домашние адреса админов, взять биту и сделать доброе дело" не предлагать!..Они домашние адреса не говорят.
Такие дела.
Брр, сразу видно что не админ, зачем WINS для поиска сквида... Заставьте слушать сквид 2-а внутренних интерфейса, он у вас наверное порт 3128 слушает, вот и указывайте на локальных станциях соответствующий ip и порт в свойствах браузеров, ну а самбу оставьте если она вам нужна, да и еще она увас имееи 2-а интерфейса, поэтому и пытается зарегистрировать их на WINS'е, сделайте привязку к одному интерфейсу.
> Брр, сразу видно что не админ, зачем WINS для поиска сквида...
> Заставьте слушать сквид 2-а внутренних интерфейса, он у вас наверное порт
> 3128 слушает, вот и указывайте на локальных станциях соответствующий ip и
> порт в свойствах браузеров, ну а самбу оставьте если она вам
> нужна, да и еще она увас имееи 2-а интерфейса, поэтому и
> пытается зарегистрировать их на WINS'е, сделайте привязку к одному интерфейсу.Спасибо за ответ, Сергей, я уже писал, что:
"Таким образом моя тачка получает 2 ip в подсети 192.168.54.0 и подсети 192.168.52.0"
То есть получает по DHCP конечно и те 2 ip, которые получает - они динамические. Поэтому:
"Первоначально - я не использовал wins-сервер, дабы не связываться с админами никак. Прописывал, на компьютерах, которые хотели интернета ip моей тачки с прокси-сервером... Но, конечно, это долго продолжаться не могло и в конце концов ip тачки сменился..."
Прописывал ip - я имел ввиду, что прописывал в настройках браузера, конечно же: ip,порт.
Естественно раз мой сервер со сквидом получает ip по dhcp - ip меняется со временем, и прописывать ip в настройках браузера на компьютерах, которые хотят получить бесплатный интернет приходится по-новой.Да, я знаю выделяемый по DHCP ip-шники привязываются по MAC-адресам, и нормальные админы делают хотя бы на несколько месяцев эту привязку, но те которые у меня на работе - меньше 4 недель - потом ip меняется. Не прописывать же заново на 40 машинах в браузере новый ip? Поэтому - решил использовать доступный для подсетки 192.168.54.0 wins-сервер, ну а для подсетки 192.168.52.0 имя компьютера со сквидом ищут по netbios протоколу как обычно - широковещательный запрос...ну и находят вобщем и всё замечательно работает.
Единственная проблема - админы - сказали, что я заспамляю их любимый wins-сервер, но как это может быть я не понимаю.
Поэтому вопросы:
1) В конфиге, который я выложил выше есть какие-то жуткие несуразности, которые могут wins-серверу навредить? И вообще каким-таким образом с помощью самбы можно захламить wins-сервер запросами? В интернете вообще ничего подобного не нашёл, поэтому решил спросить здесь.2) Можно ли как-то ограничить количество, либо частоту отправляемых запросов на wins-сервер в Самбе? Я конечно могут написать скриптик, или в cron повесить, чтобы включал nmbd не надолго, а потом выключал, но это какое-то некрасивое решение. Да и потом, как мой сервер будут искать по netbios?
Итого более короче: с помощью wins - вбиваю в настройки браузера имя моего сервера: SquidServ и порт:3128 и всё работает очень хорошо в обеих подсетках. Но админы, говорят что захламляю wins-сервер - как это может быть?
Спасиб за совет насчёт привязки к одному интерфейсу...эт надо будет попробовать. Я чегой-то не подумал.
Я понимаю, что я не админ, и вопрос наверное, описал не достаточно подробно или технически неграмотно, так что благодарю за внимание к проблеме и ваши замечания =)
...Я должен кого-то уничтожить - либо мой сервер, либо админов...
http://support.microsoft.com/kb/199288вот тут описаны корни проблемы. можно следовать рекомендациям майкрософта, можно поднять 2 демона самбы с разными бинд адресами и именами хоста (если винс сервер один для разных подсетей). ну или отучить в конфиге самбу вообще на wins ходить за разрешением имен.
можно проверить, не происходит ли динамическое обновление днс записи хоста при получении адреса по дхцп.
> http://support.microsoft.com/kb/199288
> вот тут описаны корни проблемы. можно следовать рекомендациям майкрософта, можно поднять
> 2 демона самбы с разными бинд адресами и именами хоста (если
> винс сервер один для разных подсетей). ну или отучить в конфиге
> самбу вообще на wins ходить за разрешением имен.
> можно проверить, не происходит ли динамическое обновление днс записи хоста при получении
> адреса по дхцп.Понял! Сейчас сервер отправляет wins-серверу, который в 192.168.54.0 данные о собраных в подсети 192.168.52.0 адресах, так?
Но я думал эта фича отключается, если сделать так:
wins proxy = no
wins support = no
И в дальнейшем самба к WINS-серверу обращается только за разрешением своих личных запросов, а собраные в подсетках соответствия типа ip-имя_копьютера, она wins-серверу уже не отправляет.Или я ошибаюсь?
И ещё если можно по-подробнее, чем может быть плохо/хорошо:
"можно проверить, не происходит ли динамическое обновление днс записи хоста при получении адреса по дхцп" ?
Спасибо большое за ответ, mr_gfd =)
Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
А на месте ваших админов я бы вам голову оторвал...
> Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
> А на месте ваших админов я бы вам голову оторвал...Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и админам.
Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
Или конфиг посмотрите - может у меня не так что-то с конфигом самбы?
>> Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
>> А на месте ваших админов я бы вам голову оторвал...
> Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и
> админам.
> Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
> Или конфиг посмотрите - может у меня не так что-то с конфигом
> самбы?У вас с организацией сети не в порядке, а не с конфигом самбы, откуда вы знаете, что всем компам раздается в качестве сервера wins 192.169.54.1, если из 192.168.52.0 к нему нет доступа... Изучите сетки и думайте...
>[оверквотинг удален]
>>> А на месте ваших админов я бы вам голову оторвал...
>> Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и
>> админам.
>> Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
>> Или конфиг посмотрите - может у меня не так что-то с конфигом
>> самбы?
> У вас с организацией сети не в порядке, а не с
> конфигом самбы, откуда вы знаете, что всем компам раздается в качестве
> сервера wins 192.169.54.1, если из 192.168.52.0 к нему нет доступа... Изучите
> сетки и думайте...Согласен, что с организацией сети не всё в порядке - поэтому сюда написал.
У меня есть доступ примерно к 27 компам из подсети 192.168.52.0, на них должен быть бесплатный интернет. Все они получают настройки сети по dhcp.
Если быть точнее через dhcp они получают: ip, маску, основной шлюз, 1 dns сервер, 1 wins-сервер(192.169.54.1).
Как я понял, что из 192.169.52.0, wins-сервер не виден из 192.168.52.0:
1) После получения, 192.169.54.1 не пингуется из подсети 192.168.52.0.
2) В качестве эксперимента - отключил на сервере сеть 192.168.52.0. Почистил кэш на одной из машин в подсетке 192.168.52.0
nbtstat -R
nbtstat -RR
Перезагрузил эту рабочую станцию. И попробовал ping SquidServ. Никаких телодвижений насчёт узнавания ip SquidServ, как я понимаю если бы был доступен wins-сервер, то тогда бы определил ip SquidServ.
3) Подобный тест проводил ещё на двух станциях подсети 192.168.52.0 - результаты такие же.
4) Аналогичный тест на 2ух машинах из подсети 192.168.54.0 даёт положительный результат, даже с отключенной сетевой картой подсети 192.168.54.0 на сервере.Исходя из выше перечисленного сделал вывод - в подсети 192.168.52.0 винс сервер, несмотря на то, что получают по dhcp - не работает.
Да, забыл - маршрутизация на сервере рабочая и вроде даже адекватная. Пакетики из 192.168.52.0 уходят на маршрутизатор 192.168.52.1. Из 192.168.54.0 на 192.168.54.201.
Вообще, чёй-то у меня ощущение, что такой болезни как "флуд" wins-сервера не существует... Т.к. если бы даже серв пытался зарегистрировать на wins-сервере 2 ip из обеих подсеток, то тогда в подсети 192.169.54.0 меня бы никто не увидел(или по-крайне мере "флудом" это никак не является).
Если я ошибаюсь - поправьте меня.
Такие дела.
Проблема разрешилась - когда в очередной раз позвонил ****** админ и начал орать в трубку, что видете ли я использую его любимый wins-сервер в корыстных целях для организации спама - неожиданно для него выяснилось, что его ****** dhcp-сервер указывает как бы не тот wins-сервер, который должен быть в подсети 192.168.52.0.В качестве аргументов привёл результат работы nbtstat -r до и после попытки разрешения какого-либо имени в подсети 192.168.52.0.
Итого, он выдал мне секретный ip wins-сервера 192.168.52.205 и сказал, что велись технические работы, поэтому wins-сервер был недоступен (угу, пол года велись).
К вечеру по dhcp, как ни странно, стал раздаваться wins-сервер 192.168.52.205, и я отключился от подсети 192.168.54.0.
А я уж начал думать, что iftop и tcpdump обманывают меня, и самба всё-таки спамит wins-сервер.
Таким образом, победа засчитывается в пользу жалкого лаборанта, ибо я крутЪ.
Всем спасибо за помощь. =)
Примечание: под "******" скрываются некоторые ругательства разной степени извращённости.