Ассоциация ЭБНИТ    ИРБИС-корпорация    Вики-Ирбис    Online/CHM справка Ирбис    FTP-сервер
Часто задаваемые вопросы (FAQ) :  ИРБИС Irbis
Исключительно важный раздел форума, который необходимо прочитать всем, кто только начинает работать с Ирбисом. Если ваши знания не так широки, как вам хотелось бы, тогда обязательно прочитайте этот раздел. Если вы не нашли, что искали, то воспользуйтесь поиском по форуму, и, скорее всего, вы найдете ответ на свой вопрос среди существующих сообщений. 
Ирбис 64 2009.1 и правила фаервола
Пользователь: VoldemarK88 (IP-адрес скрыт)
Дата: 01, March, 2010 13:34

Добрый день.
Пытаюсь организовать работу Ирбиса 64 2009.1 по локальной сети. На сервере стоит антивирус Eset Smart Security 4.0.437 со встроенным фаерфолом.
Фаервол был настроен в режиме обучения для создания необходимых правил. Были созданы 3 правила: для irbis_server.exe, CIRBISC_NEW_unicode.exe, cirbisa_unicode.exe.
При попытке запустить АРМ Администратор с удалённого компа соединение проходит успешно, и АРМ работает нормально.
При попытке запустить Каталогизатор соединение происходит, сервер Ирбиса регистрирует в списке клиентов и процессов новое вхождение, но Каталогизатор замирает и демонстрирует нам бегущего кота :-) И демонстрирует его бесконечно долго. При этом на сервере полностью блокируется локальная сеть, пинги до сервера не идут. Требуется перезагрузка компьютера для восстановления сети.
При отключении фаервола проблема исчезает.
При запуске АРМов с сервера проблемы не возникает.
Какие ещё правила нужно создать, или как решить эту проблему БЕЗ отключения фаервола?

ПыСы
Забыл уточнить - если подождать примерно полчаса, прервать ожидание, и на вопрос "Повторить запрос серверу?" выбрать "нет", то Каталогизатор подключится и будет работать.



Редактировано 2 раз. Последний раз 01.03.2010 13:39 пользователем VoldemarK88.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: Михайленко Илья (IP-адрес скрыт)
Дата: 03, March, 2010 07:51

Из всего написанного выше следует, что проблемы целиком в фаерволе и его настройках. Конкрентно про Eset не скажу ничего, поэтому рекоммендации общие для всех фаерволов в случае появления такой проблемы:

1. Отключаем режим обучения. Всё же это сервер, а не рабочая станция...
2. Правила созданы были, но какие именно - информации 0. Разве что отсутствуют правила для server_64.exe и service_64.exe.
3. Возможно, всю сетевую активность вешает запрос на обучение от антивируса, который Вам не виден.
4. Внимательно отсмотрите логи антивируса, возможно потребуется расширить список событий, попадающий в эти логи.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: VoldemarK88 (IP-адрес скрыт)
Дата: 04, March, 2010 10:30

1. Режим обучения был включен только для набора необходимых правил, поскольку я не знал, какие именно процессы Ирбиса используются для сетевой работы. Сейчас он отключен, фаервол находится в режиме интерактивной фильтрации. То есть обрабатывает соединения по существующим правилам, и при отсутствии нужного правила выводит запрос пользователю.
2. Правила были созданы на полный проход в обе стороны. То есть разрешён и исходящий, и входящий трафик по TCP/UDP протоколам. Без ограничения портов. Правила для server_64.exe и service_64.exe сейчас создам. Если проблема решится - отпишусь.
3. ...
4. Логи осмотрены, список событий полный. Почему-то фаервол считает, что на сервер шли "флад-атаки" с той рабочей машины. Пока не нашёл, в чём проблема.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: VoldemarK88 (IP-адрес скрыт)
Дата: 04, March, 2010 10:51

Корень зла найден.
Проблема кроется в слишком большом количестве запросов на сервер в малый промежуток времени с одного адреса. Вобщем, получается, что Каталогизатор "закидывает" сервер пакетами, фаервол считает это за DDOS и обрубает соединение с "атакующим адресом". В данный момент в настройках фаервола отключена блокировка IP адреса при обнаружении атаки. Соответственно, ИРБИС соединяется и всё работает.

Но возникает вопрос: как замедлить запросы от АРМ Каталогизатор к серверу?

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: Михайленко Илья (IP-адрес скрыт)
Дата: 04, March, 2010 14:14

впервые сталкиваюсь с пожеланием ЗАМЕДЛИТЬ работу сервера :) Все обычно хотят совсем другого :)
Может, всё же фаервол донастроить? :) Хотя есть параметр, который увеличит время ответа сервера - TimeSleepOnClose=
Задержка в миллисекундах. Только потом сами отстреливайтесь от жалующихся на медленную работу :)

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: VoldemarK88 (IP-адрес скрыт)
Дата: 04, March, 2010 14:49

В фаерволе нет настройки, что считать ддос атакой, а что нет. И как сделать, чтобы соединения с конкретного IP адреса не фильтровались, я тоже не нашёл :( Гибкость настройки ESETовского фаервола меня не радует... Ладно, буду экспериментировать. Спасибо за помощь :)



Редактировано 1 раз. Последний раз 04.03.2010 14:56 пользователем VoldemarK88.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: KarlMarx (IP-адрес скрыт)
Дата: 23, March, 2010 16:05

Может быть проще отказаться от фаервола на сервере, который используется для ИРБИСа............
вообще ......... решения, где сервер данных (считаем, что это ИРБИС) совмещается с системами защиты, да еще и, к примеру, с внешним IP - сомнительны.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: Михайленко Илья (IP-адрес скрыт)
Дата: 24, March, 2010 07:21

Цитата:
KarlMarx
Может быть проще отказаться от фаервола на сервере, который используется для ИРБИСа............
вообще ......... решения, где сервер данных (считаем, что это ИРБИС) совмещается с системами защиты, да еще и, к примеру, с внешним IP - сомнительны.

Логично. Сервер ИРБИС64 - СУБД. Обычно, сервер баз данных вовне не смотрит - это внутренняя инфраструктура

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: VoldemarK88 (IP-адрес скрыт)
Дата: 06, April, 2010 14:04

В принципе верно, но у меня тут бегают любители повтыкать заражённые флешки в компы... Поэтому я стараюсь использовать все возможности для защиты от вирусов в локальной сети.

Re: Ирбис 64 2009.1 и правила фаервола
Пользователь: KarlMarx (IP-адрес скрыт)
Дата: 06, April, 2010 23:48

Часто запуск вируса идет из AUTORUN.INF на флешке.
Можно использовать Panda USB Vaccine (http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/)

А.... вообще-то не совсем понимаю зачем в сервер втыкать флешки (раз уж так много любителей "повтыкать заражённые флешки" - убрать/отключить все usb-разъемы из системного серверного блока)...... Кроме того, фаервол это ж не антивирус.



Извините, только зарегистрированные пользователи могут писать в этом форуме.
This forum powered by Phorum.