Unverifiable

Винда, защищающая винду?! :)
А зачем так ~~извратно~~ оригинально? :)

From:

Вот-вот.
Может проще проехаться до булочной и купить аппаратный езернетный маршрутизатор со встроенным натом? линксис какой-нибудь например, асус или чего у вас там водится. (лучше, конечно асус 500 премиум).

From:

LinkSys однозначно. WAG354 или WRT(3)54, в зависимости от типа подачи. И если есть вопросы - могу хоть я зайти удалённо (после первоначальной конфигурации по телефону :) и настроить port forwarding, DMZ, чёрта-дьявола...
Недавно так знакомой роутер настраивал. В Хьюстоне :).

From:

sokhapkin.livejournal.com

Винда непосредственно смотрящая в интернет? Ты самоубийца...

From:

Страна Советов, блин. Маршрутизатор с натом у меня, разумеется, есть. Даже два. То, что я делаю сейчас - хрень временная. Я меняю один public сервер на другой. И поскольку процесс это не мгновенный, мне надо бы чтоб для начала новый сервер по-тупому пробрасывал несколько портов на старый, который уже убран "внутрь". Как только я закончу медленно и печально перекидывать сервисы со старого, функции маршрутизатора с нового снимаются и он работает сам по себе, а старый выключается.

From:

Угу. Уже несколько лет. А что тебя, собственно, смущает? Если ты поставишь веб-сервер внутри сети и прокинешь на него порт 80 (и может быть 443) - чем это будет принципиально отличаться от того, что оно будет подключено непосредственно к аплинку провайдера, но все прочие порты и сервисы при этом отключены нахрен?

From:

см. ниже.

Спасибо большое за предложение помощи в конфигурении линксисов, но я с этим и сам пока неплохо справляюсь. Вопрос именно в том чтобы на время заставить W2K3 работать раутером, пока я его начиняю тем, что ему нужно для автономной работы.

From:

Тогда поставь на то, что будет работать маршрутизатором, обычный WinRoute и организуй NAT на нём. И на нём же - проброс нужных портов. А организовывать полноценный роутер встроенными средствами Windows (даже если это W2K3) - это занятие для сильных духом :).

From:

Тем, что отключить основные дырки винды (порты 135, 137..139, 445) - в некоторых конфигурациях сети даже не просто сложно, а вообще невозможно, без потери функциональности NetBIOS over TCPIP.

From:

В случае веб-сервера, я не очень понимаю, зачем что-то кроме TCP 80,443 вообще пускать на внешний интерфейс. Откуда там взяться 135,137,итд?

На внутреннем интерфейсе для этой машины я тоже в принципе могу обойтись без NetBIOS. А могу и включить, именно для этой карточки. Чем рискую?

From:

WinRoute, говоришь? Trial на 30 дней. Может и успею :)
Ща пойду попью кофе и подумаю...

From:

В случае веб-сервера, я не очень понимаю, зачем что-то кроме TCP 80,443 вообще пускать на внешний интерфейс. Откуда там взяться 135,137,итд?

Порты 135, 137 и т.д. отвечают в винде автоматически, если Windows Network (стандартная виндовая сеть) вообще присутствует. И я вот как--то навскидку не могу себе представить правило файрволла, которое разрешит коннекты по этим портам из безопасной зоны (например, от машин, которым нужно видеть расшаренные ресурсы сервера), но запретит коннектиться к ним злоумышленникам. Полностью "оторвать" ответы по этим портам - тоже ой как сложно. А это - самая большая и самая главная дырка винды. Наряду с RPC ещё, и эта служба тоже ой как нетривиально отрывается (при этом, утаскивая за собой массу всего, что винде нужно для работы).

А могу и включить, именно для этой карточки. Чем рискую?

Если есть возможность включить только для внутренней - то можно. Важно, чтобы эти порты в большой инет не светились. И я, честно говоря, глубоко не копался в задаче отрывания NB и RPC для определённых интерфейсов: мне всегда было проще засунуть винду за NAT (причём не-виндовый, естественно), а если винде требуется отвечать по какому-либо более или менее безопасному порту - пробросить этот порт вовнутрь. У меня дома так, например, torrent-клиент работает: внутрь проброшен один-единственный порт. И вот за такую схему я спокоен абсолютно.

From:

Тебе crack дать, или сам найдёшь? ;)

From:

А зачем? Мне оно на постоянной основе точно не понадобится, а на месяц пробовать дают безо всяких краков...

From:

Windows Network (стандартная виндовая сеть)

То, что ты называешь стандартной виндовой сетью, состоит из двух кусков:

- Client for Microsoft Networks
- File and Printer sharing

Наличие обоих регулируется по каждому интерфейсу в отдельности. Если ты инсталлируешь типичный Windows Workstation - они будут включены по дефолту, но могут быть и выключены. У W2K3 наборот - по дефолту всё отключено, кроме собственно TCP/IP. Вот если ты скажешь ему: add file server role - тогда да, оно добавит оба сервиса и будет слушать эти порты. Но опять же, они отключаемы для любого интерфейса.

Описанная тобой ситуация, когда коробка с одной стороны веб-сервер, а с другой стороны клиенты из безопасной зоны хотят на ней что-то там шарить, уже немного идиотичнее, но и такой вариант вполне себе работает если надо. Пробовали...

From:

Ну, смотри сам :). Если ты не боишься за свою схему - то почему бы и нет. А я в этом отношении параноик и винде не доверяю :).
Кстати, было бы интересно, пожалуй, поставить где-нить в сторонке на экспериментальной машинке W2K3 без единой роли, стукнуть в неё nmap-ом и посмотреть - что отвечает на "голом" серваке... И нет ли там небезопасных портов.

From:

Да, кстати, а RPC (445-й порт) чем отрывать? Он имеет место всегда, вне зависимости от поднятых служб. И через эту дырку, помнится, в своё время пролезла какая-то особо гадкая дрянь (во времена XP pre-SP1). А как системе обойтись без remote procedure callls - не очень понятно...

From:

Про RPC ничего не знаю. Если в процессе выясню "чем его отрывают" - поделюсь :)

В твоём вопросе настораживает одно: теоретически у компутера может вообще не быть сетевых карт. Нет карты - нет и порта. А система работать таки будет, "без remote procedure calls", веришь? :) Ну это я так, чисто теоретически.

From:

Всё правильно. Только в этом случае RPC будет работать "сам с собой" на интерфейсе 127.0.0.1, который есть всегда. Но как только появилась сеть - появляется и возможность удалённо вызывать процедуры. Возможность, которой все околовиндовые продукты очень активно пользуются.

From:

Не, лучше всего асусовский. Там usb2 есть

From:

В NT по умолчанию 127.0.0.1 могло и не быть. Чтоб получить сеть надо было ставить специальный сетевой адаптер от MS. Назывался MS loopback interface.

From:

Так и объясни маршрутизатору что старые порты надо пробрасывать на старый сервер, а новые -- на новый.
А вообще странно себя ведёте, господин хозяин журнала: сначала спрашиваете советов, а потом ругаетесь из-за того, что они слишком разумные!

From:

Я имею обычай задавать довольно точные вопросы. И спросил я не советов типа "надо ли оно мне вообще ИЛИ какую марку и модель маршрутизатора надо покупать". Я спросил "кто может помочь настроить RRAS?".

Против отвлеченных дискуссий на тему "почему этот метод сосёт" я в общем-то ничего не имею, но вот странное поведение мне шить не надо...

From:

Ну да, конечно! то есть выходит дело -- техподдержка, если первым делом спрашивает: "а вы питание, кстати, включали, уважаемый? ", ведёт себя странно?

From:

Лучше не надо про техподдержку. Именно так дело и обстоит.

Я уже неделю звоню провайдеру и каждый раз новому работнику их суппорта говорю: "Мужик, ваш news-сервер не признаёт меня своим и рвёт коннект немедленно. Вправьте ему мозги или той железке, которая ему провайдит информацию свой-чужой IP"

А мне в ответ: "А какой программой вы пользуетесь?" :(

From: (Anonymous)

У меня сложилось стойкое убеждение, что проблема будет решена быстрее если её формулировать письменно с приложением логов. Что в отношении провайдеров, что корпоративных ИТ, что всяких прочих коллег у которых что-то не работает. Опять же следы остаются и время начинает тикать.

From: