Re: Namapování portu z interní IP na specifickou IP:PORT přes další rozhranní....

[Břetislav Kubesa]

----- Original Message ----- 
From: "Dan Lukes" <dan at obluda.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Friday, January 16, 2004 2:37 AM
Subject: Re: Namapování portu z interní IP na specifickou IP:PORT přes další
rozhranní....


> Břetislav Kubesa wrote:
>
> > počítači s adresou 192.168.0.13 běží zastaralá aplikace, která
> > bohužel podporuje pouze možnost změny IP a portu, kam se má připojit
> > (přitom je nutné, aby se dostala na adresu 213.175.38.59 a port 1170,
> > samozřejmě přes firewall). Jak mám daný problém vyřešit ? Poslední,
> > co jsem zkoušel, bylo následující (bez úspěchu) :
>
> Ja tomu asi nerozumim, vetsina klientskych aplikaci podporuje "pouze"
> moznost zmeny IP adresy (a ty lepsi i portu) kam se maji pripojit
> (jinymi slovy, "kde je server"). Vic vetsinou ani neni treba.Pokud se z
> one site dokazete spojit ven, dokazete se spojit i na adresu
> 213.175.38.59 a port 1170. A neni jasne, k cemu je tam vubec ta
> transparentni proxy.>
> Nicmene, to neni jedina nejasnost. Psal jste, ze sit 192.168.0.1 je
> urcena pro intranet, zatimco stanice s pristupem "ven" se nachazeji v
> siti 192.168.100.107 (no, ja vim - to neni specifikace site, ale nic
> lepsiho nemam - ledaze jsem uz v tomto bode neco nepochopil spravne a
> smysl teto adresy je nejaky uplne jiny, me neznamy). A najednou je rec o
> stroji, ktery je v prvni siti, ale ma mit pristup ven. Tak proc neni v
> te druhe siti, ktera je pro tyto stroje urcena ?

Tou aplikaci je MULTICASH 3.0 - internet banking a puvodne bezela pres
PROXY+ na WInXP, kde stacilo jednoduse namapovat port na danou IP a PORT a
vse bezelo - normalne pod TCP. Ma moznost nastaveni pouze vyhochozi adresy -
tedy pevne adresy banky, zadnou proxy.
Pokud tedy MULTICASH nastavim adresu 192.168.0.1,tak se pripoji na ni, ale
samozrejme nema v hlaviccce paketu informace pro predani dal. Tim je
zastarala. Proto je potreba tomu programu rict, "pripoj se na server:" a
server si musi rict "pripojil se ten a ten a tom a tom portu, tzn. musim
predat vse na adresu XXX port YY  ;-))
Transparetni proxy jsem tam zkusil davat jako dalsi pokus (nejdrive pouze
FWD ve firewallu, potom NATD, potom jeste jsem pridal TPROXY), protoze by
mela menit informace v hlavicce paketu, coz IPFW FORWARD udajne nedela.
Sit 192.168.0.* je lokalni, server ma druhou sitovku 192.168.100.107 - ta je
urcena pro pristup k providerovi a ten nas pak predava dal ven - my pak
vystupujeme pod dalsi adresou, pres kterou je servr pristupny z venku -
napr. 62.56.62.1. U providera je vse v poradku. Nevim jak to je u nej, ale
zrejme se jedna o cascading. (PROXY za PROXY).
Omlouvam se, ze to je misty mozna nejasne.

BK


>
> > ...bohužel, u toho končím, nic dál se neděje.
>
> No, vzhledem k tomu, ze jste nam peclive zatajil i to o jakou aplikaci
> jde i to, jaky vlastne pouziva protokol, nemam poneti, co by se dal dit
> melo - coz pomerne vyrazne omezuje sanci k vysloveni rozumne teorie,
> proc se nic nedeje.
>
> Me se zatim zda, ze pouziti TPROXY je zbytecne a nadbytecne (ledaze mi
> neco zasadniho uniklo) - a soucasne si myslim, ze nefunkcnost je nejak
> spojena s jejim pouzitim. Melo by to fungovat i bez ni. Ledaze je
> pouzity protokol neslucitelny s prekladem ...
>

viz. vyse.

> Dan
>
>
>
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
>