pristup skrz nat

Dan Lukes dan at obluda.cz
Tue Aug 7 12:55:19 CEST 2007


Cizek.Milan napsal/wrote, On 08/07/07 11:49:
> na produkcnim stroji pouzivam ipfw a natd (divert), vnejsi rozhrani
> ma 1 verejnou ip. Mam pozadavek, aby firma v internetu mela pristup
> na svuj server ve vnitrni siti (treba 192.168.1.2), tato firma ma
> take pevnou verejnou ip, např. 89.31... Mam seznam portu, ktere musi
> byt na jejich server pruchozi, neni jich uplne malo. Muzu to sice
> udelat pres redirect_port v natd.conf, ale to bych musel premistit
> nektere sve demony na jine porty atd. Tak me napadlo, jestli by to
> neslo poresit nejakym "protunelovanim" skrze nat...

	Chapu to tak, ze ten jejich stroj ma byt pristupny jen pro ten stroj 
89.31.X.Y ?

	Teoreticky bys mohl mit pro pakety odchazejici z/na 89.31.X.Y zcela 
oddeleny NAT (jiny daemon, prislusna divert pravidla), ale ma to hacek - 
cisla portu na tve strane. Musis zabranit tomu, aby ty dva NATy pri 
komunikaci na tentyz stroj (kterym muze byt pouze 89.31.X.Y) pouzily 
totez cislo portu (IP mas jen jednu, takze ta urcite shodna bude).

	To resi '---use_sockets', jenze, to bude pro tvoje ucely mozan prilis 
restriktivni - obavam se, ze nepovoli znovupouziti tehoz cisla portu 
ackoliv teoreticky to mozne je ...

	Celkove to shledavam jako velmi diskutabilni konfiguraci - nejsem ti 
schopen jednoznacne rict, jestli je vubec sance to spolehlive uchodit. 
Teoreticky ano, v praxi se bojim, ze ti to nakonec znemozni nektera 
implementacni omezeni - budes to dukladne rozmyslet a vyzkouset.

> mne, ze by to mozna slo pres fwd pravidlo umistene v poradi pred
> divert, ale nikdy jsem to nezkousel. Takle bych jim to presmeroval

fwd ti sice zajisti presmerovani paketu - ve smyslu jeho fyzickeho 
doruceni - ale paket nezmodifikuje. Cilova adresa zustane nezmenena a 
sitovy stack prijimaciho stroje paket zahodi (adresa nebude jeho).

> bude to takto fungovat nebo je neco lepsiho?

	Nedrbat se levou rukou za pravym uchem.

	Osobne si myslim, ze si zbytecne koledujes. Oni si koupili server za 
prekladem. Jestli chteji server verejne dostupny, obzvlast bavime-li se 
o velkem mnozstvi pevne urcenych portu, tak to proste chteji verejne 
dostupny server - a to preci take poskytnout umis. Jen si musi zaplatit 
tu dalsi adresu ...

	Druha moznost je, vzhledem k tomu, ze oni vlastne nepozaduji tak uplne 
verejne dostupny stroj - oni ho chteji mit dostupny jen z jednoho jineho 
konkretniho stroje - ze si z 89.31.X.Y na dotceny vnitrni stroj 
protahnou nejaky tunel. Pak od tebe budou potrebovat nejvyse spolupraci 
pri zajisteni pruchodu toho tunelu - a pokdu ho budou natahovat "zevnitr 
ven" tak ani to ne.

	Do obchodniho modelu ti samozrejme mluvit nehodlam, ale zvaz, ze velmi 
neortodoxni kofiguraci nakonec ohrozujes vsechny uzivatele sve site 
(vetsi pravdepodobnost zavady, delsi doba na jejich analyzu a vyreseni). 
Tak jestli ti to za to vubec stoji.

						Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz





More information about the Users-l mailing list