Проблема в настройке лок.сети

[Форматцевт]

Почитал, поискал и не нашёл.

И так мы, те я имеем:

1. Модем ZXDSL 531B, он же роутер, настройки заводские кроме UPNP (состояние включено)

2. Два или более компьютера Win XP SP3 с Outpost Firewall Pro 2009 и McAfee VirusScan Enterprise 8.5i Patch6

Проблем с доступом в инет и по локальной сети нету, а проблема возникла из-за того что я решил улучшить защиту со стороны firewall.

На обоих компах я включил NetBIOS через TCP/IP

В настройках Outpost Firewall Pro 2009 было сделано

а также отключил режим невидимости и начал писать правила, но что бы я не писал пинг между компами не проходил, при отключённом firewall и пинг и тд есть. Читал журнал, там блокировка из-за того что не созданы правила.

И так вопрос, какие правила надо написать?

PS Я бы не стал создавать тему, но промучавшись 5 часов понял что знаний мне недостаточно, гугл юзал, тех.поддержка молчит, весь софт лицензионный.

[Andrey_al]

береженного Бог бережет, приговаривала монашка, натягивая презерватив на свечку....

[Форматцевт]

Andrey_al: остроумно :)

Оффтоп

только зачем оффтопить то?

[Andrey_al]

исключительно по причине

Оффтоп

Outpost Firewall Pro 2009 и McAfee VirusScan Enterprise... проблема возникла из-за того что я решил улучшить защиту со стороны firewall

Изменено 9 октября, 2008 пользователем Andrey_al

[abram4]

На обоих компах я включил NetBIOS через TCP/IP

В настройках Outpost Firewall Pro 2009 было сделано

Вообще-то, на картинке написано -

Для данной сети заблокирован протокол NetBIOS

Так какая задача стоит?

[Форматцевт]

abram4: так видимо я напутал..... ну как всегда.

Задача в том что бы изолировать интернет от лок.сети, те мой расшаренный ресурс был виден только по локалке, а по инету к нему было сложно пройти... вроде верно изложил :)

[abram4]

AFAIK, чтобы не шарить ресурсы в инет достаточно отключить NetBIOS over TCPIP на интерфейсе, который смотрит в инет. И соотв-но, наоборот, чтобы был шаринг в локалке надо включить его на интерфейсе , который смотрит в локалку.

Точнее можно будет разговаривать, если покажешь ipconfig /all с компа, где оба интерфейса.

[Форматцевт]

abram4: вот

Первый

Microsoft Windows XP [Версия 5.1.2600]

(С) Корпорация Майкрософт, 1985-2001.

c:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : SASAM

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

Физический адрес. . . . . . . . . : 00-1E-8C-70-91-F7

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.1.2

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 192.168.1.1

DNS-серверы . . . . . . . . . . . : 192.168.1.1

c:\>

и второй

(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\tata>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : tatam

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 5 - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

#2

Физический адрес. . . . . . . . . : 00-1F-C6-86-85-8A

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.1.3

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 192.168.1.1

DNS-серверы . . . . . . . . . . . : 192.168.1.1

C:\Documents and Settings\tata>

может стоило отключить firewall?

[Форматцевт]

Отключил firewall... ничего не изменилось :)

[abram4]

Конфиги выглядят нормально, за исключением

Тип узла. . . . . . . . . . . . . : неизвестный

Хотя это к делу и не относится, не помешало бы вылечить.

А я так и не доехал, каких изменений ты ждешь и в чем все-таки проблема?

[Форматцевт]

abram4: поставил

Тип узла. . . . . . . . . . . . . : смешанный

хотя может стоило поставить Одноранговый .... что лучше?

А изменений... да просто поговорил с одним парнем и он сказал, что лучше было бы NetBIOS пустить через TCP/IP и файре прописать правила, вот и от этого возник вопрос.

[abram4]

просто поговорил с одним парнем и он сказал, что лучше было бы NetBIOS пустить через TCP/IP и файре прописать правила, вот и от этого возник вопрос.

Прав твой парень, однозначно лучше. Это даже в MS поняли и в XP просто не оставили ничего другого, NetBIOS бежит только через TCP/IP или никак. Даже если захочешь подключить родной для NetBIOS-а транспорт NetBEUI, то придется ручками извращаться. Хотя смысла прктически никакого. Уж если TCP/IP хорош для обеспечения транспортом всего инета, то для мелкой сеточки точно сгодится.

хотя может стоило поставить Одноранговый .... что лучше?

По твоим сомнениям я вижу, ты смысла параметра не понял. Тут надо вникнуть в ситуацию. Давай я на пальцах попробую растолковать как я понимаю.

Когда комп входит в сеть ему непременно надо познакомиться со всеми и каждым, иначе будет трабла типа "кто-то не виден в окружении". Для этого в NetBios есть механизм "NetBIOS Name resolution" В переводе на русский - "разрешение имен NetBIOS". Здесь слово "разрешение" не в смысле "позволить" а в смысле "вычислить". Т.е., надо вычислить какое имя_компа на каком IP сидит. Если имя не разрешить (вычислить) то сеть работать не будет. Для разрешения есть 2 способа.

Представь себе ситуацию - твой друг Винс (WINS) приглашает тебя на сабантуйчик в незнакомую компанию. Когда ты пришел (загрузился) то можешь прям с порога гаркнуть (широковещнуть) "Привет бразиры! Я - SASAM, мой ИП=192.168.1.2 (это называется регистрация в сети). А кто тут где?" В ответ тебе посыпется что-то типа "Привет, а я tatam, сижу на ИП=192.168.1.3" ... и так каждый тебе (всем) широковещнет. Все ответы ты аккуратно сложишь в таблицу имен, просмотреть ее можно командой nbtstat -r. Теперь когда тебе чего-то понадобится от tatam-а, ты так и пишешь в адресе \\tatam и твой комп согласно таблице свяжется с его ИП. Кстати, технически широковещание (broadcast) осуществляется посылкой сообщения на самый верхний адрес сети, для твоей сети это 192.168.1.255. На этом ИП никого нет и быть не может, он зарезервирован именно для широковещания.

А можно познакомиться и по другому. Если тот самый Винс (WINS-сервер) тоже пришел, то можно спросить его :"слышь Винс, расскажи, кто тут где?" В ответ, Винс вывалит готовую (заранее подготовленную) таблицу с соответствиями ИП=имя_компа.

Так как себя вести? Вот тут-то и вступает в дело параметр "Тип узла" и определяет модель поведения (способ разрешения имени). Комп смотрит в свой реестр и соотв-но выбирает указанный способ (один из 2-х, или в комбинациях)

1. B-node - Broadcast широковещание

2. P-node - Peer-to-peer , одноранговый. Тут просто тупой перевод на русский тупого термина peer-to-peer. Правильнее было бы сказать point-to-point потому что имеется в виду прямое соединение компа с WINS-сервером.

3. M-node - Mixed - смешанный , комбинация способов. Сначала поорать "кто тут где?" а если никто не ответит (например из-за того, что запрещено орать , т.е. широковещать), то спросить Винса.

4. H-node - Hybrid - гибридный , комбинация способов. Сначала спросить Винса, а если он не ответит, поорать.

Отсюда становится ясно, что если в сети нет WINSa, то и спрашивать некого и соотв-но незачем, поэтому надо просто орать (применять широковещание), т.е. выбирать либо B-node либо M-node в расчете, что может быть появится и ответит WINS. Если же в сети есть WINS-сервер, то его адрес должен быть указан в настройках сетевого интерфейса и ест-но надо выбрать тип P-node или H-node . ИМХО, правильнее выбрать H-node потому что если WINS отвалится, то останется возможность разрешить имена широковещанием.

Что будет если тип узла выбран неправильно? Например, выбран P-node (одноранговый) в сети где нет WINS ? Комп обратится к несуществующему WINSу и ест-но ответа не получит. На этом все и кончится, имена разрешены не будут и в сетевом окружении никого (кроме себя) видно не будет. К другим компам можно будет обратиться только по IP , надо всего-то выучить их наизусть.

Иногда встречается неисправность которая показывает "Тип узла. . . . . . . . . . . . . : неизвестный". Такое происходит, когда комп почему-то забыл об умолчальных значениях "Тип узла" = 1 или 8 (если прописан WINS). При этом сеть может работать , а может и нет. Но логика говорит, что если даже сеть и работает, то комп потратит некоторое время на обдумывание ситуации. Т.е. потеряет время и протормозит без нужды. Поэтому я считаю что для порядка надо этот параметр выставить как следует.

Если моего пересказа не хватило, можешь почитать первоисточник.

В очень маленьких бессерверных сетях широковещание - это основной инструмент разрешения имен. В больших же сетях это зло потому что если каждый начнет тут орать, то получится страшный шум как на базаре. А в некоторых случаях на широковещание может расходоваться больше трафика, чем на полезную работу. Поэтому там с широковещанием борются, устанавливая стабильные WINS-серверы. А чтобы лишнего базара не было, его фильтруют и даже давят широковещание на аппаратном уровне. Но для нашей пары компьютеров можно себе позволить пошироковещать немножко.

В принципе, в маленькой сетке такой сложный механизм разрешения NetBIOS имен можно сильно упростить, при этом даже ускорить разрешение. Для этого надо просто заранее подготовить таблицу , записать ее в файл lmhosts и закэшировать имена, но это уже другой рассказ. И так наоффтопил тут :blush2:

[Форматцевт]

abram4: спасибо за подробное описание и на сем тему я думаю стоит закрыть :blush2: