URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2547
[ Назад ]

Исходное сообщение
"Samba как wins-клиент, может ли зафлудить wins-server?"

Отправлено NekroMen , 28-Авг-12 20:14 
Есть маленький сервер, который раздаёт интернет с помощью squid. Чтобы в большой сети найти мой маленький сервер использую wins, но возникли некоторые проблемы.

Компьютеры, которым нужно раздавать интернет находятся в разных подсетях. Ip получают с dhcp-серверов. При раздаче ip везде используется один и тот же wins-сервер: 192.168.54.1, однако в силу великой мудрости системных администраторов(не одного!) - одни компьютеры, которые находятся в подсети 192.168.54.0 могут видеть 192.168.54.1, другие же 192.168.52.0 не видят 192.168.54.1.

В этой чудесной истории я не являюсь системным администратором, который может добраться до 2 админов или dhcp-серверов, дабы настроить их как-то по-человечески (серверы+админов)...

Однако я не сдался и сделал 2 провода - один в свитч с работающим dhcp-сервером подсетки 1(192.168.54.0) и второй в свитч 2(192.168.52.0). Ну и оба провода в свою тачку, которая раздаёт бесплатный интернет.

Таким образом моя тачка получает 2 ip в посети 192.168.54.0 и подсети 192.168.52.0. Первоначально - я не использовал wins-сервер, дабы не связываться с админами никак. Прописывал, на компьютерах, которые хотели интернета ip моей тачки с прокси-сервером... Но, конечно, это долго продолжаться не могло и в конце концов ip тачки сменился...

Для того чтоб передавать wins-серверу имя сервера решил использовать самбу. Однако, это произвело какой-то странный эффект - мне позвонил один из админов и сказал, что данный сервер мешает работе wins-сервера. Спамит его. Вот конфиг самбы:

[global]
workgroup = WORKGROUP
dns proxy = no
domain master = no
preferred master = no
#max ttl = 259200
#max wins ttl = 518400
name resolve order = wins bcast dns
wins proxy = no
wins support = no
wins server = 192.168.54.1
os level = 1

# Disable printer support
    load printers = no
    show add printer wizard = no
#    printing = NONE
    printcap name = /dev/null
    disable spoolss = yes

map to guest = Bad User
force directory mode = 777

[shar]
path = /home/2
public = yes
writeable = yes
read only = No
guest ok = yes
directory mask = 0777
create mask = 0777

Как я понимаю в этом конфиге отключено всё, что возможно.
Сервер: Debian wheezy. Squid+Samba+Dansguardian+isc-dhcp-client
Пожалуйста подскажите: могу ли я, настроить частоту обращения к wins-серверу? Вариант - "найти домашние адреса админов, взять биту и сделать доброе дело" не предлагать!..Они домашние адреса не говорят.
Такие дела.


Содержание

Сообщения в этом обсуждении
"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено Сергей , 29-Авг-12 00:11 
Брр, сразу видно что не админ, зачем WINS для поиска сквида...  Заставьте слушать сквид 2-а внутренних интерфейса, он у вас наверное порт 3128 слушает, вот и указывайте на локальных станциях соответствующий ip и порт в свойствах браузеров, ну а самбу оставьте если она вам нужна, да и еще она увас имееи 2-а интерфейса, поэтому и пытается зарегистрировать их на WINS'е, сделайте привязку к одному интерфейсу.

"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено NekroMen , 29-Авг-12 01:43 
> Брр, сразу видно что не админ, зачем WINS для поиска сквида...  
> Заставьте слушать сквид 2-а внутренних интерфейса, он у вас наверное порт
> 3128 слушает, вот и указывайте на локальных станциях соответствующий ip и
> порт в свойствах браузеров, ну а самбу оставьте если она вам
> нужна, да и еще она увас имееи 2-а интерфейса, поэтому и
> пытается зарегистрировать их на WINS'е, сделайте привязку к одному интерфейсу.

Спасибо за ответ, Сергей, я уже писал, что:

"Таким образом моя тачка получает 2 ip в подсети 192.168.54.0 и подсети 192.168.52.0"

То есть получает по DHCP конечно и те 2 ip, которые получает - они динамические. Поэтому:

"Первоначально - я не использовал wins-сервер, дабы не связываться с админами никак. Прописывал, на компьютерах, которые хотели интернета ip моей тачки с прокси-сервером... Но, конечно, это долго продолжаться не могло и в конце концов ip тачки сменился..."

Прописывал ip - я имел ввиду, что прописывал в настройках браузера, конечно же: ip,порт.
Естественно раз мой сервер со сквидом получает ip по dhcp - ip меняется со временем, и прописывать ip в настройках браузера на компьютерах, которые хотят получить бесплатный интернет приходится по-новой.

Да, я знаю выделяемый по DHCP ip-шники привязываются по MAC-адресам, и нормальные админы делают хотя бы на несколько месяцев эту привязку, но те которые у меня на работе - меньше 4 недель - потом ip меняется. Не прописывать же заново на 40 машинах в браузере новый ip? Поэтому - решил использовать доступный для подсетки 192.168.54.0 wins-сервер, ну а для подсетки 192.168.52.0 имя компьютера со сквидом ищут по netbios протоколу как обычно - широковещательный запрос...ну и находят вобщем и всё замечательно работает.

Единственная проблема - админы - сказали, что я заспамляю их любимый wins-сервер, но как это может быть я не понимаю.

Поэтому вопросы:
1) В конфиге, который я выложил выше есть какие-то жуткие несуразности, которые могут wins-серверу навредить? И вообще каким-таким образом с помощью самбы можно захламить wins-сервер запросами? В интернете вообще ничего подобного не нашёл, поэтому решил спросить здесь.

2) Можно ли как-то ограничить количество, либо частоту отправляемых запросов на wins-сервер в Самбе? Я конечно могут написать скриптик, или в cron повесить, чтобы включал nmbd не надолго, а потом выключал, но это какое-то некрасивое решение. Да и потом, как мой сервер будут искать по netbios?

Итого более короче: с помощью wins - вбиваю в настройки браузера имя моего сервера: SquidServ и порт:3128 и всё работает очень хорошо в обеих подсетках. Но админы, говорят что захламляю wins-сервер - как это может быть?

Спасиб за совет насчёт привязки к одному интерфейсу...эт надо будет попробовать. Я чегой-то не подумал.

Я понимаю, что я не админ, и вопрос наверное, описал не достаточно подробно или технически неграмотно, так что благодарю за внимание к проблеме и ваши замечания =)

...Я должен кого-то уничтожить - либо мой сервер, либо админов...


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено mr_gfd , 29-Авг-12 01:36 
http://support.microsoft.com/kb/199288

вот тут описаны корни проблемы. можно следовать рекомендациям майкрософта, можно поднять 2 демона самбы с разными бинд адресами и именами хоста (если винс сервер один для разных подсетей). ну или отучить в конфиге самбу вообще на wins ходить за разрешением имен.
можно проверить, не происходит ли динамическое обновление днс записи хоста при получении адреса по дхцп.


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено NekroMen , 29-Авг-12 01:50 
> http://support.microsoft.com/kb/199288
> вот тут описаны корни проблемы. можно следовать рекомендациям майкрософта, можно поднять
> 2 демона самбы с разными бинд адресами и именами хоста (если
> винс сервер один для разных подсетей). ну или отучить в конфиге
> самбу вообще на wins ходить за разрешением имен.
> можно проверить, не происходит ли динамическое обновление днс записи хоста при получении
> адреса по дхцп.

Понял! Сейчас сервер отправляет wins-серверу, который в 192.168.54.0 данные о собраных в подсети 192.168.52.0 адресах, так?

Но я думал эта фича отключается, если сделать так:
       wins proxy = no
       wins support = no
И в дальнейшем самба к WINS-серверу обращается только за разрешением своих личных запросов, а собраные в подсетках соответствия типа ip-имя_копьютера, она wins-серверу уже не отправляет.

Или я ошибаюсь?

И ещё если можно по-подробнее, чем может быть плохо/хорошо:

"можно проверить, не происходит ли динамическое обновление днс записи хоста при получении адреса по дхцп"   ?

Спасибо большое за ответ,  mr_gfd =)


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено Сергей , 29-Авг-12 02:45 
Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
А на месте ваших админов я бы вам голову оторвал...

"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено NekroMen , 29-Авг-12 02:50 
>  Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
>  А на месте ваших админов я бы вам голову оторвал...

Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и админам.
Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
Или конфиг посмотрите - может у меня не так что-то с конфигом самбы?


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено Сергей , 29-Авг-12 10:20 
>>  Берите книжку по TCP/IP, его маршрутизацию и по DHCP, читайте, думайте.
>>  А на месте ваших админов я бы вам голову оторвал...
> Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и
> админам.
> Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
> Или конфиг посмотрите - может у меня не так что-то с конфигом
> самбы?

У вас с организацией сети не в порядке, а не с конфигом самбы, откуда вы знаете, что всем компам раздается в качестве сервера wins 192.169.54.1, если из 192.168.52.0 к нему нет доступа... Изучите сетки и думайте...


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено NekroMen , 29-Авг-12 11:07 
>[оверквотинг удален]
>>>  А на месте ваших админов я бы вам голову оторвал...
>> Сергей, спасибо за ваш бесконечно полезный ответ - он поможет мне и
>> админам.
>> Более конструктивные есть замечания? Ответить на вопросы которые я задал, например можете?
>> Или конфиг посмотрите - может у меня не так что-то с конфигом
>> самбы?
>  У вас с организацией сети не в порядке, а не с
> конфигом самбы, откуда вы знаете, что всем компам раздается в качестве
> сервера wins 192.169.54.1, если из 192.168.52.0 к нему нет доступа... Изучите
> сетки и думайте...

Согласен, что с организацией сети не всё в порядке - поэтому сюда написал.

У меня есть доступ примерно к 27 компам из подсети 192.168.52.0, на них должен быть бесплатный интернет. Все они получают настройки сети по dhcp.

Если быть точнее через dhcp они получают: ip, маску, основной шлюз, 1 dns сервер, 1 wins-сервер(192.169.54.1).

Как я понял, что из 192.169.52.0, wins-сервер не виден из 192.168.52.0:

1) После получения, 192.169.54.1 не пингуется из подсети 192.168.52.0.
2) В качестве эксперимента - отключил на сервере сеть 192.168.52.0. Почистил кэш на одной из машин в подсетке 192.168.52.0
     nbtstat -R
     nbtstat -RR
Перезагрузил эту рабочую станцию. И попробовал ping SquidServ. Никаких телодвижений насчёт узнавания ip SquidServ, как я понимаю если бы был доступен wins-сервер, то тогда бы определил ip SquidServ.
3) Подобный тест проводил ещё на двух станциях подсети 192.168.52.0 - результаты такие же.
4) Аналогичный тест на 2ух машинах из подсети 192.168.54.0 даёт положительный результат, даже с отключенной сетевой картой подсети 192.168.54.0 на сервере.

Исходя из выше перечисленного сделал вывод - в подсети 192.168.52.0 винс сервер, несмотря на то, что получают по dhcp - не работает.

Да, забыл - маршрутизация на сервере рабочая и вроде даже адекватная. Пакетики из 192.168.52.0 уходят на маршрутизатор 192.168.52.1. Из 192.168.54.0 на 192.168.54.201.
Вообще, чёй-то у меня ощущение, что такой болезни как "флуд" wins-сервера не существует... Т.к. если бы даже серв пытался зарегистрировать на wins-сервере 2 ip из обеих подсеток, то тогда в подсети 192.169.54.0 меня бы никто не увидел(или по-крайне мере "флудом" это никак не является).
Если я ошибаюсь - поправьте меня.
Такие дела.


"Samba как wins-клиент, может ли зафлудить wins-server?"
Отправлено NekroMen , 30-Авг-12 18:47 
Проблема разрешилась - когда в очередной раз позвонил ****** админ и начал орать в трубку, что видете ли я использую его любимый wins-сервер в корыстных целях для организации спама - неожиданно для него выяснилось, что его ****** dhcp-сервер указывает как бы не тот wins-сервер, который должен быть в подсети 192.168.52.0.

В качестве аргументов привёл результат работы nbtstat -r до и после попытки разрешения какого-либо имени в подсети 192.168.52.0.

Итого, он выдал мне секретный ip wins-сервера 192.168.52.205 и сказал, что велись технические работы, поэтому wins-сервер был недоступен (угу, пол года велись).

К вечеру по dhcp, как ни странно, стал раздаваться wins-сервер 192.168.52.205, и я отключился от подсети 192.168.54.0.

А я уж начал думать, что iftop и tcpdump обманывают меня, и самба всё-таки спамит wins-сервер.

Таким образом, победа засчитывается в пользу жалкого лаборанта, ибо я крутЪ.

Всем спасибо за помощь. =)

Примечание: под "******" скрываются некоторые ругательства разной степени извращённости.