Re: Namapování portu z interní IP na specifickou IP:PORT přes další rozhranní....

Zbyněk Burget zburget at miastudio.cz
Fri Jan 16 11:12:10 CET 2004


Pokud se jedna o pripojeni klienta ve vnitrni siti na server ve vnejsi siti,
dost pravdepodobne nebude na firewallu potreba mapovat zadny port.
Predpokladam, ze klient se pripojuje s nejakeho blize nedefinovaneho portu
na port 1170 na serveru. Pak opravdu mapovani portu nebude potreba. Pokud je
vnitrni sit od vnejsi oddelena firewallem + NATem, pak bude problem s
nejvetsi pravdepodobnosti v nastaveni firewallu nebo NATu. Ostatni provoz z
vnitrni site ven funguje bez problemu?

Zbynek

----- Původní zpráva -----
Od: "Břetislav Kubesa" <bretislav.kubesa at centrum.cz>
Komu: "FreeBSD mailing list" <users-l at freebsd.cz>
Odesláno: 16. ledna 2004 10:45
Předmět: Re: Namapování portu z interní IP na specifickou IP:PORT přes další
rozhranní....


>
> ----- Original Message -----
> From: "Ondra Koutek" <koutek at o-k.cz>
> To: "'FreeBSD mailing list'" <users-l at freebsd.cz>
> Sent: Friday, January 16, 2004 9:12 AM
> Subject: RE: Namapování portu z interní IP na specifickou IP:PORT přes
další
> rozhranní....
>
>
> > Co misto forwardu pouzit proste --redirect_port NATu? :-P
>
> Zkousel jsem jiz drive ;-( - nevim proc, ale pri tomto nastaveni
> redirect_port tcp 192.168.0.13:1170 213.175.38.59:1170
> se zasekne natd a pote sendmail pri bootu. ;-( Asi mam neco spatne.
> Ted me napada, nemel bych spis presmerovat 192.168.0.1:1170 na
> 213.175.38.59:1170 ??????? Tedy IP adresu, NA KTEROU se pripojuje klient ?
> Uz me napadaji asi same blbosti... ;o(
> BK
>
>
>
> >
> > -----Original Message-----
> > From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
> > Behalf Of Břetislav Kubesa
> > Sent: Friday, January 16, 2004 9:01 AM
> > To: FreeBSD mailing list
> > Subject: Re: Namapování portu z interní IP na specifickou IP:PORT přes
> další
> > rozhranní....
> >
> >
> > ----- Original Message -----
> > From: "Dan Lukes" <dan at obluda.cz>
> > To: "FreeBSD mailing list" <users-l at freebsd.cz>
> > Sent: Friday, January 16, 2004 2:37 AM
> > Subject: Re: Namapování portu z interní IP na specifickou IP:PORT přes
> další
> > rozhranní....
> >
> >
> > > Břetislav Kubesa wrote:
> > >
> > > > počítači s adresou 192.168.0.13 běží zastaralá aplikace, která
> > > > bohužel podporuje pouze možnost změny IP a portu, kam se má připojit
> > > > (přitom je nutné, aby se dostala na adresu 213.175.38.59 a port
1170,
> > > > samozřejmě přes firewall). Jak mám daný problém vyřešit ? Poslední,
> > > > co jsem zkoušel, bylo následující (bez úspěchu) :
> > >
> > > Ja tomu asi nerozumim, vetsina klientskych aplikaci podporuje "pouze"
> > > moznost zmeny IP adresy (a ty lepsi i portu) kam se maji pripojit
> > > (jinymi slovy, "kde je server"). Vic vetsinou ani neni treba.Pokud se
z
> > > one site dokazete spojit ven, dokazete se spojit i na adresu
> > > 213.175.38.59 a port 1170. A neni jasne, k cemu je tam vubec ta
> > > transparentni proxy.>
> > > Nicmene, to neni jedina nejasnost. Psal jste, ze sit 192.168.0.1 je
> > > urcena pro intranet, zatimco stanice s pristupem "ven" se nachazeji v
> > > siti 192.168.100.107 (no, ja vim - to neni specifikace site, ale nic
> > > lepsiho nemam - ledaze jsem uz v tomto bode neco nepochopil spravne a
> > > smysl teto adresy je nejaky uplne jiny, me neznamy). A najednou je rec
o
> > > stroji, ktery je v prvni siti, ale ma mit pristup ven. Tak proc neni v
> > > te druhe siti, ktera je pro tyto stroje urcena ?
> >
> > Tou aplikaci je MULTICASH 3.0 - internet banking a puvodne bezela pres
> > PROXY+ na WInXP, kde stacilo jednoduse namapovat port na danou IP a PORT
a
> > vse bezelo - normalne pod TCP. Ma moznost nastaveni pouze vyhochozi
> adresy -
> > tedy pevne adresy banky, zadnou proxy.
> > Pokud tedy MULTICASH nastavim adresu 192.168.0.1,tak se pripoji na ni,
ale
> > samozrejme nema v hlaviccce paketu informace pro predani dal. Tim je
> > zastarala. Proto je potreba tomu programu rict, "pripoj se na server:" a
> > server si musi rict "pripojil se ten a ten a tom a tom portu, tzn. musim
> > predat vse na adresu XXX port YY  ;-))
> > Transparetni proxy jsem tam zkusil davat jako dalsi pokus (nejdrive
pouze
> > FWD ve firewallu, potom NATD, potom jeste jsem pridal TPROXY), protoze
by
> > mela menit informace v hlavicce paketu, coz IPFW FORWARD udajne nedela.
> > Sit 192.168.0.* je lokalni, server ma druhou sitovku 192.168.100.107 -
ta
> je
> > urcena pro pristup k providerovi a ten nas pak predava dal ven - my pak
> > vystupujeme pod dalsi adresou, pres kterou je servr pristupny z venku -
> > napr. 62.56.62.1. U providera je vse v poradku. Nevim jak to je u nej,
ale
> > zrejme se jedna o cascading. (PROXY za PROXY).
> > Omlouvam se, ze to je misty mozna nejasne.
> >
> > BK
> >
> >
> > >
> > > > ...bohužel, u toho končím, nic dál se neděje.
> > >
> > > No, vzhledem k tomu, ze jste nam peclive zatajil i to o jakou aplikaci
> > > jde i to, jaky vlastne pouziva protokol, nemam poneti, co by se dal
dit
> > > melo - coz pomerne vyrazne omezuje sanci k vysloveni rozumne teorie,
> > > proc se nic nedeje.
> > >
> > > Me se zatim zda, ze pouziti TPROXY je zbytecne a nadbytecne (ledaze mi
> > > neco zasadniho uniklo) - a soucasne si myslim, ze nefunkcnost je nejak
> > > spojena s jejim pouzitim. Melo by to fungovat i bez ni. Ledaze je
> > > pouzity protokol neslucitelny s prekladem ...
> > >
> >
> > viz. vyse.
> >
> > > Dan
> > >
> > >
> > >
> > > --
> > > FreeBSD mailing list (users-l at freebsd.cz)
> > > http://www.freebsd.cz/listserv/listinfo/users-l
> > >
> > >
> >
> > --
> > FreeBSD mailing list (users-l at freebsd.cz)
> > http://www.freebsd.cz/listserv/listinfo/users-l
> >
> >
> >
> > --
> > FreeBSD mailing list (users-l at freebsd.cz)
> > http://www.freebsd.cz/listserv/listinfo/users-l
> >
> >
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l





More information about the Users-l mailing list