שוב מודם

[דורון אופק]

"תרומה" זה תמיד חשוב ..

ובטח הם מעברים את הכסף למשהו חיובי כמו למלחמה ברעב באפריקה .. או משהו כזה .. אגב, הקטע עם dmand d ברור?

 

[lizard]

נמאססססססססססס לי

טוב,הצלחתי לבנות את השרת עובד יופי. אבל אני לא מצליח להפעיל את הRULE של הPORT FORWARDING. לשרת יש כתובת X אני רוצה שמי שעושה http://x:81 יכנס למחשב האישי שלי שמריץ IIS שמקונפג לפורט 81. אבל לאאאאא למה לא ? ככה אחרי 700 מדריכים ואין ספור תצורות הגעתי למסקנה שאין לי מושג למה זה לא עובד. HELP PLSSSS מיכה

 

[bsdfireball]

קצת יותר פרטים

אולי תכתוב לנו את הפקודה שהשתמשת בה? זה ייתן קצת אור. משום מה איפשהוא נרשם אצלי ש - DNAT עובד רק עם IP קבוע...

 

[lizard]

אוקי

אני משתמש ב: iptables -t nat -A PREROUTING -p tcp -d 212.150.96.112 --dport 81 -j DNAT --to 192.168.0.128:81 iptables -A FORWARD -p tcp -d 192.168.0.128 --dport 81 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.128 --sport 81 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 212.150.96.112 זה לא ממש עוזר לי. אם יש לך משהו אחר אני אשמח. תודה מיכה

 

[lizard]

houston we have a chicken

טוב

הPort forwarding עובד ,אבל רק מרשת חיצונית. לא מספק בעליל. יש רעיונות איך גם מהרשת הפנימית זה יעבוד ? מיכה

 

[דורון אופק]

תראה ..

בהגדרת התפקיד של DNAT הוא להוות מיסוך ופניה למחשב יחיד - בתצורה כמו שלך אתה מפזר את הקריאות לכמה מחשבים. האמת היא שניתן לבנות עוד מעך חוקים שיתייחס גם אל הרשת הפנימית וימסך גם כלפיה - כלומר כל קריאה שתגיע מהרשת הפנימית ל port מסויים תופנה אל מחשב אחר .. אבל עדיין יוכלו ברשת הפנימית לפנות ישירות אל אותו port ולקבל מענה .. כך שאין בזה יותר מידי טעם , אלא אם כן : 1. תיקח את אותו מחשב פנימי עם האתר , תפרוש עוד רגל ב pirewall ותחבר אותו שם ואז יש לך מה שקרוי 3 homes firewall ובכך אתה מונע גישה ישירה של 2 הרשתות אל המחשב - באופן ישיר , כל התנועה אליהם תועבר דרך ה firewall . 2. הקמת מערך firewall על המחשב שסוחב על עצמו את האתר ולמעשה פתיחת ה port שעליו עובד האתר רק כלפי ה firewal הראשי כך שמשום רשת לא יוכלו לגשת בצורה ישירה אל האתר על מחשב היעד .. הדבר הכי חשוב ... למה למען השם אתה משתמש ב IIS ??? בא לך לחטוף איזה נימדה או איזשהו משהו אחר ??? הרי מיעוטם של שרתי ה web הינם IIS ובכל זאת תראה כמה מדברים על "ווירוסים שפוגעים בשרתי ה web .." - אני לא ממש מכיר ווירוס שפוגע לי ב apache - כך שבטח הכוונה לכל אותם אלפי ווירוסים רשעים שמחפשים את אלו שעדיין משתמשים ב IIS .. * אגב מרבית הארגונים עובדים עם IIS כי הם לא ממש מכירים את ה APACHE --- אצלך ככל שאני מכיר , התירוץ הזה ממש לא יעבוד .. (בקיצור אל תגיד לי שאתה לא מכיר את הלינוקס כדי לעבוד איתו ..)

 

[lizard]

תשובה

הIIS זה דרישת הלקוח (צריך להריץ ASP) אני צריך שזה יעבוד גם מהרשת הפנימית על מנת לראות איך האתר נראה מבחוץ. טפשי לחייג לאינטרנט רק כדי לראות את port forwarding. אם יש לך רעיון איזה מערך חוקים אני צריך (שלא יפגע בNAT הקיים) אני אשמח. תודה רבה מיכה

 

[דורון אופק]

אותו דבר רק הפוך ..

כלומר שכל פניה מהרשת הפנימית ל IP הפנימי ל port מסויים תופנה אל המחשב עם האתר. אני דווקא לא ממש ממליץ לך לעשות את זה מכוון שהכי טוב לבדוק את הדברים כמו שהם אמורים להיות באמת, כלומר אם המשתמשים יגיעו בנתיב מסויים - דרך שם תעשה את הבדיקה .. ועוד משהו אני מעביר לך כמסר (תסלחו לי ..)(אבטחה , אין מה לעשות ..)

 

[ezaton]

ככה זה אצלי (ויש רק IP יחיד שמיצג

אותי) $IPTABLES -t nat -A PREROUTING -p TCP --dport 25 -i ppp0 -j DNAT --to 10.100.1.5:25 Works only from the outside. I could do the same, on the other side, but why? Ez.

 

[lizard]

איך לעשות את זה מהצד השני ?

אני רוצה שגם המשתמש החיצוני וגם הפנימי יראו אותו דבר. תודה מיכה

 

[ezaton]

הייתי עושה את זה עם הפניות DNS

כלומר, רמאות, ועדיף כך. הגדרות זהות עבור משתמשים שלך יכולות להיות בעייתיות. אתה יכול להגדיר כללים שמאפשרים ניתוב לפורט, מהממשק הפנימי, אבל אני לא הייתי עושה את זה... Ez

 

[lizard]

למה ?

האמת זה לא מאוד קריטי. כל עוד זה עובד מבחוץ הכול טוב. מיכה

 

[ezaton]

יותר אלגנטי

ופחות מתפשר לגבי אבטחה. אפשר לרמות מערכת פיירוול לחשוב שאתה בא מבפנים, ואז מערך ההרשאות שלך עלול להיות מאוד שונה. לא שווה להכנס לזה אפילו... Ez

 

[lizard]

זה בלי FW

רק PORT FORWARDING ןMASQ

 

[ezaton]

Masq הוא סוג של fw

פשוט, אבל מונע הרבה סוגי התקפות מבחוץ. Ez

 

[lizard]

גם נכון

התקנתי היום FW בסיסי ונחמד על השרת הביתי שלי עוד צריך לבדוק אותו לעומק אבל בגדול זה גם מה שאני אתקין אצל הלקוח. טוב כמו שאמרתי, אם זה באלגן אז מספיק שהPOT FORWARDING עובד מבחוץ גם ככה אנילא רוצה לתת להם לעבוד על הIIS. מיכה

 

[ezaton]

שאלתי אותך אם אתה רוצה עותק

של הסקריפט שלי. אתה תמצא שהוא מעניין

אבל לא בפומבי, לשם כך. Ez

 

[lizard]

שלחתי לך הודעה במסרים

יש שם את הסקריפטון שלי. תגיד לי מה אתה חושב מיכה

 

[ezaton]

שאלתי אותך אם אתה רוצה עותק

של הסקריפט שלי. אתה תמצא שהוא מעניין

אבל לא בפומבי, לשם כך. Ez