Как выпустить "Клиент-банк" наружу BorderManager-а

Обсуждение технических вопросов по продуктам Novell

Как выпустить "Клиент-банк" наружу BorderManager-а

Сообщение Кирилл Яновский » 01 июн 2006, 17:34

Захотелось тут одному клиенту внутри сети поставить себе "клиент-банк".
Тот в настройках имеет настройку на прокси, но требует открытый порт 7002.

Делаю Generic Proxy:

Original Server Hostname - 192.168.1.59 - это адрес машинки клиента
Original Server Port - 7002
Proxy IP address - галки на обоих, и 192.168.1.59 и 217.*.*.* (внешний, реальный)
Proxy port - 7002
Создаю соответствующее правило.
Фильтры не трогаю, вообще отключены.
НАТ выключен.

Клиент-банк не вяжеться. Что неправильно?

Кстати, E-Donkey пытался аналогично настроить - не получилось.

З.Ы. На днях похожим образом (через Generic Proxy) сделал доступ на свой комп посредством RAdmin-а (порт 4899) - все с пол-пинка пошло.
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Андрей Фисенко » 01 июн 2006, 17:58

A Rule у вас есть для пользователей?
Сделайте, чтобы они могли юзать этот порт...
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Кирилл Яновский » 01 июн 2006, 18:33

Андрей Фисенко писал(а):A Rule у вас есть для пользователей?
Сделайте, чтобы они могли юзать этот порт...

Ну я ж написал - правило создал. Пока для всех, потом, если вдруг получиться, настрою на конкретных морд. :-)
Проверил только что еще с включенным НАТ-ом, заработало. Но мне так не желательно, НАТ в обычном состоянии отключен.
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Dimerson » 01 июн 2006, 18:50

Кирилл Яновский писал(а):
Андрей Фисенко писал(а):A Rule у вас есть для пользователей?
Сделайте, чтобы они могли юзать этот порт...

Ну я ж написал - правило создал. Пока для всех, потом, если вдруг получиться, настрою на конкретных морд. :-)
Проверил только что еще с включенным НАТ-ом, заработало. Но мне так не желательно, НАТ в обычном состоянии отключен.


Если я вас правильно понял то вы создали один прокси для входящего траффика на 7002 порт :

То есть входящий на 7002 ТЦП порт (на Public interface BM) пробрасывается на некий IP внутренней сети и порт 7002 . так ?

Если да по наверное надо создать еще 1 прокси для исходящего траффика на порт сервера банка. (то чем занимается NAT в вашем случае и который нежелателен в силу отсутствия фильтров)
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Кирилл Яновский » 01 июн 2006, 19:14

Dimerson писал(а):
Кирилл Яновский писал(а):
Андрей Фисенко писал(а):A Rule у вас есть для пользователей?
Сделайте, чтобы они могли юзать этот порт...

Ну я ж написал - правило создал. Пока для всех, потом, если вдруг получиться, настрою на конкретных морд. :-)
Проверил только что еще с включенным НАТ-ом, заработало. Но мне так не желательно, НАТ в обычном состоянии отключен.


Если я вас правильно понял то вы создали один прокси для входящего траффика на 7002 порт :

Да, именно так!!!
То есть входящий на 7002 ТЦП порт (на Public interface BM) пробрасывается на некий IP внутренней сети и порт 7002 . так ?

Если да по наверное надо создать еще 1 прокси для исходящего траффика на порт сервера банка. (то чем занимается NAT в вашем случае и который нежелателен в силу отсутствия фильтров)

Видимо да.. только вот какой именно прокси? на какие порты? на те же? в настройках клиента ничего, кроме этого одного порта нет.
А не достаточно одного прокси, но с выставленными обоими галочками интерфейсов?
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Dimerson » 01 июн 2006, 19:19

Кирилл Яновский писал(а):
Dimerson писал(а):
Кирилл Яновский писал(а):
Андрей Фисенко писал(а):A Rule у вас есть для пользователей?
Сделайте, чтобы они могли юзать этот порт...

Ну я ж написал - правило создал. Пока для всех, потом, если вдруг получиться, настрою на конкретных морд. :-)
Проверил только что еще с включенным НАТ-ом, заработало. Но мне так не желательно, НАТ в обычном состоянии отключен.


Если я вас правильно понял то вы создали один прокси для входящего траффика на 7002 порт :

Да, именно так!!!
То есть входящий на 7002 ТЦП порт (на Public interface BM) пробрасывается на некий IP внутренней сети и порт 7002 . так ?

Если да по наверное надо создать еще 1 прокси для исходящего траффика на порт сервера банка. (то чем занимается NAT в вашем случае и который нежелателен в силу отсутствия фильтров)

Видимо да.. только вот какой именно прокси? на какие порты? на те же? в настройках клиента ничего, кроме этого одного порта нет.
А не достаточно одного прокси, но с выставленными обоими галочками интерфейсов?


Имхо нет. Один проброс - один прокси. Надеюсь что у вас там некий телнетоподобный протокол и зная его порт вы сможете описать его.
Вариантов немного - или поинтересуйтесь в сервисной службе банка либо понаблюдайте сниффером за установкой соединения с банком.
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Кирилл Яновский » 01 июн 2006, 23:04

Имхо нет. Один проброс - один прокси. Надеюсь что у вас там некий телнетоподобный протокол и зная его порт вы сможете описать его.
Вариантов немного - или поинтересуйтесь в сервисной службе банка либо понаблюдайте сниффером за установкой соединения с банком.

Спасибо, завтра поспрашаю..
Ну а если порт тот же, что, просто 2 одинаковых прокси, но с разными галочками на внешнем и внутреннем айпи?? Так?
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Dimerson » 02 июн 2006, 05:54

Кирилл Яновский писал(а):
Имхо нет. Один проброс - один прокси. Надеюсь что у вас там некий телнетоподобный протокол и зная его порт вы сможете описать его.
Вариантов немного - или поинтересуйтесь в сервисной службе банка либо понаблюдайте сниффером за установкой соединения с банком.

Спасибо, завтра поспрашаю..
Ну а если порт тот же, что, просто 2 одинаковых прокси, но с разными галочками на внешнем и внутреннем айпи?? Так?


Ну ясно же - один направлен внутрь другой наружу ... про попугаефф и галочег так же как и йожикафф не помню ;o)
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Ravil » 02 июн 2006, 10:30

Кирилл писал
Фильтры не трогаю, вообще отключены.

у тебя вообще на внешн интерфейсе нет фильтров ??????


по твоему вопросу

Это для исходящих пакетов

Делаеш Generic Proxy:

Original Server Hostname - IP адрес банка
Original Server Port - 7002
Proxy IP address - галка на внутренней сетевухе
Proxy port - 7002

Создаеш соответствующее правило (c IP адр внутр клиента).

В клиент банке указываеш в настройках внутренний IP сервера

(у меня фильтры на внеш карте)
еще делаеш исключение в фильтрах, на порт 7002 исходящий

Все должно работать в такой конфигурации.


Если еще вход извне необходим, то нужны номера портов
Делаеш Generic Proxy:
Original Server Hostname - 192.168.1.59 - это адрес машинки клиента
Original Server Port - номер порта
Proxy IP address - галка на внешннем адресе
Proxy port - номер порта
Создаеш соответствующее правило. (IP источник-это банк и IP локальный клиент)
и опять исключения в фильтрах на вход

Коллеги поправьте если не прав.
Ravil
 
Сообщения: 396
Зарегистрирован: 17 июл 2002, 12:05
Откуда: Kazan

Сообщение Dimerson » 02 июн 2006, 12:11

Ravil писал(а):Кирилл писал
Фильтры не трогаю, вообще отключены.

у тебя вообще на внешн интерфейсе нет фильтров ??????


по твоему вопросу

Это для исходящих пакетов

Делаеш Generic Proxy:

Original Server Hostname - IP адрес банка
Original Server Port - 7002
Proxy IP address - галка на внутренней сетевухе
Proxy port - 7002

Создаеш соответствующее правило (c IP адр внутр клиента).

В клиент банке указываеш в настройках внутренний IP сервера

(у меня фильтры на внеш карте)
еще делаеш исключение в фильтрах, на порт 7002 исходящий

Все должно работать в такой конфигурации.


Если еще вход извне необходим, то нужны номера портов
Делаеш Generic Proxy:
Original Server Hostname - 192.168.1.59 - это адрес машинки клиента
Original Server Port - номер порта
Proxy IP address - галка на внешннем адресе
Proxy port - номер порта
Создаеш соответствующее правило. (IP источник-это банк и IP локальный клиент)
и опять исключения в фильтрах на вход

Коллеги поправьте если не прав.


Все верно ;o)
С пациента (Кирилл) Пиво !
Аватара пользователя
Dimerson
 
Сообщения: 2966
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Кирилл Яновский » 02 июн 2006, 15:42

Dimerson писал(а):
Ravil писал(а):Кирилл писал
Фильтры не трогаю, вообще отключены.

у тебя вообще на внешн интерфейсе нет фильтров ??????

Вообще то да.... Пока особо не было необходимости, да и, честно говоря, не хватает понимания, как и что делать. Привел бы кто-нить пример :-))
Пару раз "на горячую" пытался что-то следать - получал полную изоляцию сервера, выключал до лучших времен :-((

Спасибо огромное, хоть теперь понимаю, что таке генерикпрокси, и зачем его применять.
Но, увы, проблема не решилась. При включенном НАТ-е (Динамик+статик, в статике прописано: внешний - мой внутренний айпи), все работает. (т.е. банк тут не причем). Кстати, почему то пр установке только динамик НАТ - перестает работать прокси, инета нет ни у кого.
Настраиваю 2 генерик-прокси, как тут советовали, правила (тоже 2), и глухо. Причем, почему-то, хоть галочки логирования стоят - нигде логов не вижу, хотя пакеты наружу по порту 7002 уходят и приходят (провайдер видит).
Случайно заметил в TUNNEL.LOG пару строчек типа:
0.0.0.0 - - [02/Jun/2006:10:48:07 +0300] "CONNECT 194.44.195.134:7002 HTTP/1.1", касаемо моих телодвижений и все.
И еще, провайдер говорит, совсем разные пакеты идут с 7002 порта, в случае НАТ-а и генерик-прокси.
Какие еще идеи будут??

Да, вот еще информашка.. экран консоли
Generic Proxy statistics
Number of TCP request : 25
Numbeг of Active TCP Connections : 17
Numbeг of TCP Data(byte) tunnelled : 477737
Number of TCP ACL Denials: : 6

Denials - это от моих экспериментов с разными портами внутри.. обычно их не было.

Все верно ;o)
С пациента (Кирилл) Пиво !

Сам уже хочу, 2-й день маюсь.. проще отправить клиента "банкиться" на модем, но вот "зацепило" :-)))
Последний раз редактировалось Кирилл Яновский 02 июн 2006, 15:54, всего редактировалось 2 раз(а).
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Владимир Горяев » 02 июн 2006, 15:49

Случайно заметил в TUNNEL.LOG пару строчек типа:
0.0.0.0 - - [02/Jun/2006:10:48:07 +0300] "CONNECT 194.44.195.134:7002 HTTP/1.1", касаемо моих телодвижений и все.

Какие еще идеи будут??


попробуй в proxy.cfg
Код: Выделить всё
[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1


[HttpTunnelingAllowed]

port1=7002
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Кирилл Яновский » 02 июн 2006, 15:51

попробуй в proxy.cfg
Код: Выделить всё
[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1


[HttpTunnelingAllowed]

port1=7002

Уже пробовал, ноль эффекту :-(
Кирилл Яновский
 
Сообщения: 212
Зарегистрирован: 11 апр 2005, 15:13
Откуда: Николаев, Украина

Сообщение Владимир Горяев » 02 июн 2006, 15:58

Кирилл Яновский писал(а):
попробуй в proxy.cfg
Код: Выделить всё
[Tunneling]

EnableTunnelingControl=1

EnableTunnelingControlLog=1


[HttpTunnelingAllowed]

port1=7002

Уже пробовал, ноль эффекту :-(
Дык ето если пробуешь через httport (прога такая) тунель, а не через GP.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Ravil » 02 июн 2006, 16:27

Кирил писал

Вообще то да.... Пока особо не было необходимости, да и, честно говоря, не хватает понимания, как и что делать. Привел бы кто-нить пример )
Пару раз "на горячую" пытался что-то следать - получал полную изоляцию сервера, выключал до лучших времен (


ХРЕНОВО БЕЗ ФИЛЬТРОВ. ДЫРЯВО ОДНАКО
внешний интерфейс должен быть прикрыт фильтрами.
а вот те сервисы которые тебе нужны открваешь через исключения (правильно написанные)

если есть возможность поставь BM на тествый сервер, при установке выбери IP PACKET FILTERING и два исключения DNS и HTTP для работы инета достаточно.
после установки посмотри через FILTCFG исключения, так картина мирозданья начнет прояснятся
еще лучше книги Крейга почитать, в .pdf можно найти в инете

Кирил писал
Кстати, почему то пр установке только динамик НАТ - перестает работать прокси, инета нет ни у кого.

НAT не влияет на работу HTTP прокси, это разные вещи


Novell Border Manager Proxy Cache server что кажет на экране ???
Ravil
 
Сообщения: 396
Зарегистрирован: 17 июл 2002, 12:05
Откуда: Kazan

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12