pristup skrz nat
Dan Lukes
dan at obluda.cz
Tue Aug 7 12:55:19 CEST 2007
Cizek.Milan napsal/wrote, On 08/07/07 11:49:
> na produkcnim stroji pouzivam ipfw a natd (divert), vnejsi rozhrani
> ma 1 verejnou ip. Mam pozadavek, aby firma v internetu mela pristup
> na svuj server ve vnitrni siti (treba 192.168.1.2), tato firma ma
> take pevnou verejnou ip, např. 89.31... Mam seznam portu, ktere musi
> byt na jejich server pruchozi, neni jich uplne malo. Muzu to sice
> udelat pres redirect_port v natd.conf, ale to bych musel premistit
> nektere sve demony na jine porty atd. Tak me napadlo, jestli by to
> neslo poresit nejakym "protunelovanim" skrze nat...
Chapu to tak, ze ten jejich stroj ma byt pristupny jen pro ten stroj
89.31.X.Y ?
Teoreticky bys mohl mit pro pakety odchazejici z/na 89.31.X.Y zcela
oddeleny NAT (jiny daemon, prislusna divert pravidla), ale ma to hacek -
cisla portu na tve strane. Musis zabranit tomu, aby ty dva NATy pri
komunikaci na tentyz stroj (kterym muze byt pouze 89.31.X.Y) pouzily
totez cislo portu (IP mas jen jednu, takze ta urcite shodna bude).
To resi '---use_sockets', jenze, to bude pro tvoje ucely mozan prilis
restriktivni - obavam se, ze nepovoli znovupouziti tehoz cisla portu
ackoliv teoreticky to mozne je ...
Celkove to shledavam jako velmi diskutabilni konfiguraci - nejsem ti
schopen jednoznacne rict, jestli je vubec sance to spolehlive uchodit.
Teoreticky ano, v praxi se bojim, ze ti to nakonec znemozni nektera
implementacni omezeni - budes to dukladne rozmyslet a vyzkouset.
> mne, ze by to mozna slo pres fwd pravidlo umistene v poradi pred
> divert, ale nikdy jsem to nezkousel. Takle bych jim to presmeroval
fwd ti sice zajisti presmerovani paketu - ve smyslu jeho fyzickeho
doruceni - ale paket nezmodifikuje. Cilova adresa zustane nezmenena a
sitovy stack prijimaciho stroje paket zahodi (adresa nebude jeho).
> bude to takto fungovat nebo je neco lepsiho?
Nedrbat se levou rukou za pravym uchem.
Osobne si myslim, ze si zbytecne koledujes. Oni si koupili server za
prekladem. Jestli chteji server verejne dostupny, obzvlast bavime-li se
o velkem mnozstvi pevne urcenych portu, tak to proste chteji verejne
dostupny server - a to preci take poskytnout umis. Jen si musi zaplatit
tu dalsi adresu ...
Druha moznost je, vzhledem k tomu, ze oni vlastne nepozaduji tak uplne
verejne dostupny stroj - oni ho chteji mit dostupny jen z jednoho jineho
konkretniho stroje - ze si z 89.31.X.Y na dotceny vnitrni stroj
protahnou nejaky tunel. Pak od tebe budou potrebovat nejvyse spolupraci
pri zajisteni pruchodu toho tunelu - a pokdu ho budou natahovat "zevnitr
ven" tak ani to ne.
Do obchodniho modelu ti samozrejme mluvit nehodlam, ale zvaz, ze velmi
neortodoxni kofiguraci nakonec ohrozujes vsechny uzivatele sve site
(vetsi pravdepodobnost zavady, delsi doba na jejich analyzu a vyreseni).
Tak jestli ti to za to vubec stoji.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list