_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Andy Ushakov 2:5030/435 11 Jul 97 20:36:22
Subj : Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Hello Zahar!
11 Jul 97 14:29, Zahar Kiselev wrote to Andy Ushakov:
AU>> Однако тут же обнаружилось, что раз в 15 минут Linux сам
AU>> стал провайдеру звонить. Hачал разбираться...
AU>> Да, SUNJET - это имя workgroup'ы, куда машины с Windows95
AU>> все входят. Время регистрации первого пакета, судя по
AU>> /var/log/ppp.log - совпадает с временем старта протокола.
AU>> Может, посоветуете, что на linux'е подкрутить надо?
ZK> Боюсь, что не в линуксе, а в виндах, а это много сложнее.
Да я в этом, после того, как убил целый день на экперименты, и не сомневаюсь,
что в Windows95. Однако править придется в Linux'е. Вот пока не соображу, в
каком их двух мест будет идеологически правильнее. Впрочем, об этом чуть ниже.
ZK> Опасения базиpуются на аналогии: у меня на одной виндовой машине была
ZK> включена пpивязка "клиента для сетей Микpософт" к пpотоколу "TCP/IP",
ZK> а не только к Netbeui(винды понятно pусские - у опеpатоpов и инглишем
ZK> туго - поэтому настpойку pассказываю для них). Включил я это когда с
ZK> Самбой экспеpиментиpовал, а потом забыл выключить. Гейтом у меня до
ZK> сих поp полуось pаботает, так вот пpосматpивая там пpоходящие пакеты
ZK> я обнаpужил, что та самая виндовозная машна pегуляpно совалась в DNS,
Да, ровно как и у меня.
ZK> а он у меня не свой, а пpовайдеpский. Меня возмутило что она модемный
ZK> канал загpужает не по делу, и пpичину я нашел - в "Панель
ZK> упpавлению"->"Сеть" в настpойке пpотоколов искать "Пpивязка", там
ZK> отцепить от TCP/IP все что можно. Винды pугнутся, но отключат и больше
ZK> в DNS лезть не будут. Мне это помогло. Посмотpи, может быть и тебе
ZK> поможет.
Я уже рассказывал: у меня несколько нестандартная ситуация, из-за которой я
уже прошел по множеству граблей. А именно: есть двухсегментная сетка на Novell
3.11, где есть лишь IPX и нет и не будет TCP/IP. Я делаю Linux с двумя же
сетевыми картами, где будет жить лишь TCP/IP и, когда все настрою, воткну его
параллельно Novell'овскому серверу.
Пока же я экспериментирую на заднем дворике, прицепив одной картой Linux в
общую сеть, а во вторую "перекрученным" кабелем воткнув одну машинку. И мне ее
из сети, хотя бы с одной машины с другой стороны Linux'а хочется видеть. Netbeui
не пойдет, про проблемы с роутингом IPX, точнее Netbios over IPX я уже тут писал
(и не буду я development kernel ставить, даже если эти ядра умеют пакеты Type-20
роутить). Остается TCP/IP. Т.е. никак его от карточки не отвязать... Да, похоже,
и не надо.
А теперь результаты моих исследований: Остановил я diald, а потом взял пример
настройки firewall'а с ip-masquerade'ингом и начал подгонять под свои два
сегмента, полностью заглушив внешний роутинг. Тут-то и всплыло, что периодически
одна машина из двух (единственное ее отличие от второй, что у нее этот протокол
основной, а IPX не задействован. У другой машины основным стоит IPX, и она с
большей частью других Windows95 общается именно через него, а по TCP/IP лишь с
одной), где TCP/IP к карточке привязан, пытается слать серию UDP пакетов с порта
137 на 53 порт DNS-сервера. В файле services Windows95 этот порт называется
nbname, в Linux'е - netbios-ns.
Теперь смотрим на файлы standard.filter и/или dynamic.filter от свежей diald
(раньше он типа diald.conf назывался) и видим вот какие правила на эту тему:
# Keep netbios from holding us up as well.
ignore tcp tcp.source=tcp.netbios-ns,tcp.dest=tcp.netbios-ns
и
# Do the same for netbios-ns broadcasts
# NOTE: your /etc/services file may not define the netbios-ns service
# in which case you should comment out the next three lines.
ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns
accept udp 30 udp.dest=udp.netbios-ns
>accept udp 30 udp.source=udp.netbios-ns
Вот из-за отмеченной строчки diald, похоже, и звонит. А теперь вопрос, где
более правильно это заткнуть? С помощью ipfwadm или здесь, в конфигурационных
файлах diald?
Andy
--- GoldED/386 2.50+
* Origin: SUNJET SYSTEMS (2:5030/435)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Ivan Schelkunov 2:5030/82.7 13 Jul 97 02:00:06
Subj : Re: Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote:
> Hello All!
> качестве local прописан. Т.е. не тот, что мне с того конца провайдер выдал, а
> еще неправильный. Адрес назначения - DNS из /etc/resolv.conf.
>
У тебя кто-то пытается с dns пообщаться. По умолчанию пакеты с запросом
к dns возбуждают diald.
> Может, посоветуете, что на linux'е подкрутить надо? Заранее спасибо.
Ты можешь так настроить diald, чтобы он игнорировал запросы к dns (53 порт).
Или поставь себе собственный dns и пусть он обслуживает твою сетку.
Кроме того, можно научиться просто блокировать diald. То есть не смотря ни на
какую активность на интерфейсе он звонить не будет.
>
> Andy
>
--
CU, Ivan
--- TIN [UNIX 1.3 BETA-950824-16colors PL0]
* Origin: Linux Support (2:5030/82.7@fidonet)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Ivan Schelkunov 2:5030/82.7 13 Jul 97 02:29:28
Subj : Re: Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote:
> основной, а IPX не задействован. У другой машины основным стоит IPX, и она с
> большей частью других Windows95 общается именно через него, а по TCP/IP лишь с
> одной), где TCP/IP к карточке привязан, пытается слать серию UDP пакетов с
> порта 137 на 53 порт DNS-сервера. В файле services Windows95 этот порт
> называется nbname, в Linux'е - netbios-ns.
Эээээ, а вот что у меня:
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
> ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns
> accept udp 30 udp.dest=udp.netbios-ns
> >accept udp 30 udp.source=udp.netbios-ns
>
> Вот из-за отмеченной строчки diald, похоже, и звонит. А теперь вопрос, где
> более правильно это заткнуть? С помощью ipfwadm или здесь, в конфигурационных
> файлах diald?
Здесь. Если ты заткнешь это через ipfwadm, то скорее всего поимеешь
определенный геморрой с обращением к внешнему dns. А от этого ни как не
уйти. Если ты вправишь мозги diald, то проблем с обращением не будет, но
не будет и постоянной прозвонки. Уловил?
>
> Andy
>
--
CU, Ivan
--- TIN [UNIX 1.3 BETA-950824-16colors PL0]
* Origin: Linux Support (2:5030/82.7@fidonet)