Брандмауэр и active directory, пропадает сеть.

[Maxik]

(Alt Linux Centaurus 7.0.4 + active directory под windows server)
При включении интерфейса сетевой карты в брандмауэре пропадает видимость внешней сети с компьютерами домена active directory. при отключении сетевого интерфейса в брандмауэре сеть появляется. разрешения для служб не помогают.
Как пофиксить?

[asterix81]

Дайте картину подробнее, где отключаете и что.

[Maxik]

Дайте картину подробнее, где отключаете и что.

центр управления системой -> брандмауэр - внешние сети:
режим работы - шлюз
внешние интерфейсы:
при установке галочки на интерфейс сетевой карты пропадает сеть active directory.
при отключении галочки сеть появляется.

в разделе "разрешить входящие соединения на внешних интерфейсах", службы - галочки стоят везде.

[Skull]

Галочки ставятся только на внешних интерфейсах (тех, которые ведут к провайдеру), но не в локальную сеть. Иначе придётся все нужные порты указывать явно.

[Skull]

В списке там только самые популярные порты приведены. Почитайте документацию на ActiveDirectoryччтобы узнать полный перечень задействованных портов.

[asterix81]

ящие соединения на внешних интерфейсах", службы - галочки стоят везде.

У Вас только одна сетевая карта? Брандмауэр Вам нужен?  Тогда выше Skull отправляет вас к документации по портам (если нужен Open Directory то попробуйте добавить 389 порт вручную.)

[Maxik]

В списке там только самые популярные порты приведены. Почитайте документацию на ActiveDirectoryччтобы узнать полный перечень задействованных портов.

почитал.
http://technet.microsoft.com/ru-ru/library/dd772723%28v=ws.10%29.aspx

открывал порты:

tcp:
3128;3268;135;49152;389;636;3269;53;88;445;138;3269;139;5353;56355;17;56351;6841;6842;43259;56358;56359;1025-5000;49152-65535

udp:
3128;53;88;445;138;389;88;137;5353;56355;17;6841;6842;7373;7372;41500;36251;43678;40978;57890;59401;44291;59073;32879;41200-42500;1025-5000;49152-65535

всё равно не видит сетку.

[asterix81]

В списке там только самые популярные порты приведены. Почитайте документацию на ActiveDirectoryччтобы узнать полный перечень задействованных портов.

почитал.
http://technet.microsoft.com/ru-ru/library/dd772723%28v=ws.10%29.aspx

открывал порты:

tcp:
3128;3268;135;49152;389;636;3269;53;88;445;138;3269;139;5353;56355;17;56351;6841;6842;43259;56358;56359;1025-5000;49152-65535

udp:
3128;53;88;445;138;389;88;137;5353;56355;17;6841;6842;7373;7372;41500;36251;43678;40978;57890;59401;44291;59073;32879;41200-42500;1025-5000;49152-65535

всё равно не видит сетку.

Сколько у Вас сетевых интерфейсов?
Что для Вас видит сетку?    В проводнике - просмотр? Актив Директори - соединение? А DNS - запросы шлете?

В вашем примере открытые порты есть диапазон: 1025-5000;49152-65535.
Так для начала, если необходим файрвол, отключите его, потом выставьте диапазоны :  1-1000, 1001-10000, 10001-49151, 49152-65535. И постепенно отключайте, и нейдете нужный диапазон...

[Maxik]

В списке там только самые популярные порты приведены. Почитайте документацию на ActiveDirectoryччтобы узнать полный перечень задействованных портов.

почитал.
http://technet.microsoft.com/ru-ru/library/dd772723%28v=ws.10%29.aspx

открывал порты:

tcp:
3128;3268;135;49152;389;636;3269;53;88;445;138;3269;139;5353;56355;17;56351;6841;6842;43259;56358;56359;1025-5000;49152-65535

udp:
3128;53;88;445;138;389;88;137;5353;56355;17;6841;6842;7373;7372;41500;36251;43678;40978;57890;59401;44291;59073;32879;41200-42500;1025-5000;49152-65535

всё равно не видит сетку.

Сколько у Вас сетевых интерфейсов?
Что для Вас видит сетку?    В проводнике - просмотр? Актив Директори - соединение? А DNS - запросы шлете?

В вашем примере открытые порты есть диапазон: 1025-5000;49152-65535.
Так для начала, если необходим файрвол, отключите его, потом выставьте диапазоны :  1-1000, 1001-10000, 10001-49151, 49152-65535. И постепенно отключайте, и нейдете нужный диапазон...

несколько интерфейсов. да, смотрю через Caja.
соединение через: просмотреть сеть -> сеть виндоус -> домен -> компьютеры.
столько портов как то даже и не хочется открывать.

[Skull]

Режим Роутер попробуйте.

[asterix81]

В вашем примере открытые порты есть диапазон: 1025-5000;49152-65535.

Для эксперимента: выставил по документации Майкрософт этот диапазон 1025-5000;49152-65535.

С включенным брандмауэром работает. Режим сами видите шлюз

[Skull]

Режим сами видите шлюз

Вот с NAT у вас скорее всего и не работает.

[asterix81]

Режим сами видите шлюз

Вот с NAT у вас скорее всего и не работает.

Нет Вы не поняли как раз все и работает, если в файрике открыть эти диапазоны.
Файрик как раз включаю на LAN со всеми службами, а второй интерфейс ви-фи. (Ну не могу я его из моноблока выкинуть...)

[Skull]

Я бы на вашем месте вообще бы в этот модуль не лез.

[asterix81]

Я бы на вашем месте вообще бы в этот модуль не лез.

Доброе утро Андрей! Я вообще туда не лез, попытался ответить автору вопроса.
Вопрос в другом: на сервере, во внутренней сети, файрволом блокирую ненужные (нелегальные) хосты,  либо ученикам отключаю интернет когда он не требуется. Через несколько таких выкл/вкл портов "прокси" файрвол начинает выдавать ошибку. Возможно это потому что его уже кто-то юзает в этот момент...