Вы находитесь в разделе Типовых решений систем безопасности
Сказание о том, как я регистратор к интернету подключалНе являясь крупным специалистом в области сетевых технологий, все-таки решил написать данную статью, потому что большинство инсталляторов, перед которыми рано или поздно встанет подобная задача, начнут ее решение с еще меньшим багажом знаний. Подробное описание моих неудач, возможно, поможет им избежать повторения этих ошибок. С другой стороны по своему опыту знаю, что чайнику более понятны объяснения себе подобного. Итак, волею случая, в моих руках появился свободный от текущих обязательств сетевой видеорегистратор. Его подключение к локальной сети офиса не вызвало никаких проблем и через пять минут я смог наблюдать передаваемую им по сети картинку. Для решения этой проблемы я открыл свойства сетевых подключений на своей офисной машине. Далее выписал на бумажку все, что написано во вкладке свойств протокола TCP/IP и слегка изменив адрес, ввел эту информацию в соответствующем меню регистратора. О подсетях на тот момент у меня было очень отдаленное представление, но знал, что изменить надо только последнее число в выписанном адресе. Конечно, в тот момент я не стал выписывать все адреса офисных компьютеров, полностью полагаясь на теорию вероятности, и она меня не подвела. Введенное мною число от 2 до 255 не совпало ни с одним адресом из 12-ти компьютеров установленных в нашем офисе. Естественно мне тут же захотелось поделиться своей радостью с внешним миром, и я приступил к решению этой абсолютно непонятной для меня на тот момент задачи. Для ее решения у меня был достаточно быстрый интернет, подведенный к серверу. С другой стороны к этому серверу была подключена офисная сеть. К сожалению великому сервер оказался абсолютно черным ящиком, поскольку специалист, который его устанавливал, абсолютно не помнил пароля администратора, а во время спросить у него пароль никто не догадался. У меня так же были начальные представления об адресации в интернете, и я знал, что введенный на текущий момент адрес абсолютно непригоден для доступа извне. Поэтому первой моей задачей стало получение живого адреса, а точнее адресов для имеющегося в распоряжении регистратора. Слава богу, администратор нашего провайдера оказался очень дружелюбным человеком и смог понять из моих объяснений, что мне требуется. Огромное ему за это спасибо. Он прислал мне по почте специальную форму и образец ее заполнения. Я честно заполнил все, что понял и отослал эту форму обратно. Через пару часов мне по почте пришло уведомление от службы RIPE о том, что блок из 16-ти адресов (а точнее подсеть) зарегистрированы на OOO Firma INCOS. Ура! Потом пришло письмо от администратора, которое я сразу расшифровать не смог, но общий смысл понял. Письмо гласило: Зарегистрировал 217.XXX.XXX.16/28 сроутил ее на Ваш 217.XXX.XXX.XXX Вторым был указан адрес сетевой карты, установленной на нашем сервере со стороны интернета. Таким образом, понял я, весь блок адресов, выделенный нам, перенаправлен провайдером на наш сервер. В общем, находясь в слегка приподнятом настроении, я осознал, что между моей мечтой и ее воплощением остался только один черный ящик-сервер. Рано я радовался. Сервер просто пугал совей неприступностью. Пароля по прежнему никто сообщить не мог, и я проникся настоящим уважением к человеку, который сделал под Windows вещь, работающую почти два года абсолютно без обслуживания. Для решения этой задачи я пригласил другого специалиста, и он в течение 3-х часов при помощи загрузочной дискеты под Линуксом смог поменять неизвестный никому пароль на 12345678 Доступ к серверу был получен и, как мне сказали, чтобы все заработало надо на внутренней сетевой карте указать алиасом адрес из выделенной подсети. После ряда вопросов я выяснил, что алиас – это синоним и на одной сетевой карте могут быть указаны одновременно несколько адресов. Вводится этот дополнительный адрес через свойства протокола TCP/IP.Адрес тут же был введен и….. ничего не заработало. На сервере был установлен фаервол, который каким-то образом мешал моему созидательному процессу. Специалистов, как назло, под рукой не оказалось и мне пришлось самому пытаться понять, как это работает. То, что я сделал дальше, с одной стороны характеризует меня как абсолютного ламера, с другой стороны это помогло значительно повысить уровень моих знаний в данной области и в конце концов написать данное повествование. Копаясь в настройках фаервола, точнее говоря, пытаясь найти, где этот самый фаервол прикручен к системе, я случайно установил службу VPN, чем полностью положил на лопатки весь офисный интернет. Данное действие случилось в пятницу вечером, и у меня было два выходных на исправление ситуации. Ошибка, к сожалению, оказалась фатальной. Мы выехали в офис с очередным специалистом в воскресение вечером и удалили установленную службу, заглушив также фаервол, но выяснили следующую неприятную ситуацию: Windows 2000 server устроен таким образом, что расшарить интернет (разрешить транзит пакетов между двумя сетевыми картами) возможно только если на внутренней карте стоит адрес 192.168.0.1 и никак по другому. Однако этот самый Windows, каким то непостижимым для нормального человека образом где-то запоминает, что на карте был когда-то записан второй адрес (вспомните алиас) и при попытке расшарить выдает сообщение, что адрес карты отличается от 192.168.0.1…… Утро понедельника началось с переустановки Windows 200 server. Хмурое начальство два часа ходило кругами вокруг компьютера, на котором неспешно один за другим распаковывались файлы, задавая один единственный вопрос: Когда?. Наконец все файлы распаковались интернет расшарился, на внутренней карте был установлен алиасом нужный адрес – заработало. Работало недолго. Выяснилось, что периодически сервер затыкается и нужна ежедневная перезагрузка. Иногда даже два раза в день. Специалисты, которым задавался вопрос, в один голос говорили, что: Виндовс маст дай и тебя спасет только фря. Потом предлагали свои услуги. Стоимость услуг варьировалась от напоишь потом до ста долларов США. Я пригласил в итоге специалиста, сломавшего пароль на предыдущем сервере. Через три дня в субботу я, наконец, смог его затащить в офис с винчестером, на котором была установлена система FreeBSD 4.10 и заверениями, что надо полчаса времени. Указанная версия ПО отказалась дружить c сетевыми картами на базе микросхем RL6139C. Система распознавала эти устройства, как сетевые карты, а потом выдавала ошибку инициализации драйвера. Через два часа мучений было принято решение купить другие сетевые карты. Мы поехали в магазин и купили самые дорогие 3Com905-TX. Это было второй ошибкой. Оказавшиеся на тот момент в наших руках версии FreeBSD 4.10 и 5.3 отказывались воспринимать эти карточки как устройства. В общем, за целый день и часть последующей ночи ничего у нас не получилось. Днем позже специалист уехал в отпуск, забыв об этом предупредить, и решать задачу в итоге пришлось самому. К счастью главному бухгалтеру заменили компьютер, и в моих руках оказался подопытный системный блок два винчестера и целая коллекция дистрибутивов FreeBSD. На официальном сайте FreeBSD нашлось достаточно толковое описание системы размером 4 мегабайта, а также был раскопан проект OpenNet, в котором нашлись насколько десятков документов с пошаговыми инструкциями настройки системы. Однако задача распознавания сетевых карт до сих пор не была решена, более того она усугубилась тем, что сетевые карты RL были заняты на кое-как работающем Windows –сервере, а 3Com по-прежнему не хотели распознаваться. Эти карты были установлены в мой компьютер с системой Windows 2000 и без труда распознались и заработали. При этом я обратил внимание, что прерывания, на которые установились эти карты - 18 и 1 Понимая, что на старой материнской плате с процессором Pentium 2 этих прерываний нет, я внимательно отследил процесс начальной загрузки подопытного компьютера и обнаружил, что BIOS так же не выдает эти карты в листинге PCI устройств. После этого была предпринята попытка установить на этом компьютере поочередно Windows98 и Windows ME с фирменными драйверами, которые поставлялись вместе с сетевыми картами 3Com – фиаско. После этого в магазине, где покупались данные сетевые карты, был произведен их обмен на D-Link 550 с довеском RL-2000 на микросхеме 6139D. Все три сетевые карты были выведены в листинге устройств BIOS и были тут же опознаны системой, которая загружается при инсталляции FreeBSD. Я выбрал версию 4.5, потому что 4.10 была записана на бракованном CD, а 5.2.1 считается достаточно новой версией с коренными отличиями от версий 4.X Процесс установки системы был очень простой. После того, как загрузилась программа Sysinstall, я выбрал стандартную установку с разбиением диска по умолчанию без boot-менеджера. По окончании установки я не стал тратить время на установку дополнительных компонентов, потому как не имел о них вообще никакого представления, полагая, что все, что мне может понадобиться, уже установлено и не ошибся. Введя новый пароль администратора, я перезагрузил компьютер. Далее я выяснил, что для решения моей задачи надо перекомпилировать ядро системы, введя туда несколько опций и убрав лишнее. Перекомпиляция ядра только на первый взгляд звучит устрашающе, потому что все в итоге сводится к простому редактированию файла конфигурации. Прототип этого файла имеется в составе дистрибутива, а процесс редактирования подробно разобран в фирменном описании. Добавив пару строчек, необходимых для работы фаервола и удалив несколько десятков строк с несуществующим у меня оборудованием, я выполнил две команды, и ядро было перекомпилировано. Потом я отредактировал файл /etc/rc.conf , разрешив работу демона NAT и прописав адреса сетевых карт. К тому времени я уже набрался крутизны и знал, что демон это сервисная программа, а NAT система трансляции внутренних адресов, начинающихся на 192 во внешний адрес, начинающийся на 217. Пришлось помучиться, прописывая конфигурацию фаервола в /etc/rc.firewall, но в итоге все заработало, и регистратор теперь виден снаружи. Тесты с Москвой показали скорость 8 кадров в секунду при достаточно сильной загрузке сети днем и до 15 кадров в секунду на свободных линиях вечером. Таким образом, не обладая никакими знаниями, я смог решить эту задачу за пару недель. Думаю, что у тех, кто впервые столкнулся с этой задачей, ее решение теперь займет гораздо меньше времени с учетом моих ошибок, которые они не повторят. Читайте далее: Причины, по которым французам лучше, чем американцам, удается бороться с терроризмом Ip- контрреволюция Dx-tl304e – новый dvr компании mitsubishi electric Взгляд на видео сжатие h.264 Сомнения по поводу системы видеонаблюдения в вашингтоне Пентиум и безопасность Видеосерверы от atv inc. - мифы и реальность Тайваньские производители цифровых видеорегистраторов Японские производители объективов борются за мировые рынки Защита добавочной сзи нсд Цифровой видеорегистратор dms 180 iii компании dallmeier electronic Система передачи видеосигналов adpro fastvu ,vision fire & security, Сетевая видеокамера ex82dx-ip ,компания extremecctv, Видеокамера vcc-zm400 компании sanyo Новый видеоархиватор kalatel со встроенным cd-r приводом для охранных систем видеонаблюдения
|