фильтр на BM35 для oracle

Обсуждение технических вопросов по продуктам Novell

фильтр на BM35 для oracle

Сообщение Сергей Тюкалов » 16 июл 2003, 10:06

подскажите плиз, как прописать фильтр на сервере NetWare4.2+BorderManager3.5 для прохода из внешней сети внутрь на оракловый сервак по порту 1521/tcp
Сергей Тюкалов
 
Сообщения: 52
Зарегистрирован: 05 июн 2002, 09:13
Откуда: Казань

Сообщение Владимир Горяев » 16 июл 2003, 10:18

Если я правильно понял, то нужен Generic Proxy. См., напр, http://novell.org.ru/forum/viewtopic.php?t=700
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение alexp_mac » 16 июл 2003, 10:28

[quote="Владимир Горяев"]Если я правильно понял, то нужен Generic Proxy. См., напр, http://novell.org.ru/forum/viewtopic.php?t=700[/quote]

Если не получится, могу подсказать, только я без всяких проксей, только фильтры.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

У Oracla особый нрав .....

Сообщение Aleksey Matveets aka GAL » 21 июл 2003, 17:55

Помучались с этой проблемой, пока доперли....

Сначала суть проблымы:
Клиент конектится к ораклу по TCP на порт 1521 через BM (у нас 3.6).
Оракловый сервер принимает конект и начинает его обрабатывать, при этом перемещая на другой свободный TCP порт. Принимает коннекты на одном порту, обрабатывает на другом - в этом вся проблема.
На MetaLinke приводят 3-и варианта обхода проблемы:
1) Firewall должен поддерживать порт-редирект, те целевой хост может переназначать исходный порт, при этом firewall должен это дело понимать и автоматом исравлять фильтры (стат. или динам.). Найти подобную фичу в ВМ не удалось (может гуру подскажут) -).
2) Использовать Forward-host на базе вынь2к, стоящий за Firewallом и использующий фиксированный порт для вход. коннектов.
3) Открыть все порты, выше 1000, для хоста кот. нужен доступ к ораклу.

Вот такие вот дела
CNE/CLE, OCP/MOL, LPIC1

И это пройдет .....
Aleksey Matveets aka GAL
 
Сообщения: 109
Зарегистрирован: 25 авг 2002, 18:14
Откуда: Moscow

Re: У Oracla особый нрав .....

Сообщение alexp_mac » 22 июл 2003, 12:30

[quote="Aleksey Matveets aka GAL"]Помучались с этой проблемой, пока доперли....

Сначала суть проблымы:
Клиент конектится к ораклу по TCP на порт 1521 через BM (у нас 3.6).
Оракловый сервер принимает конект и начинает его обрабатывать, при этом перемещая на другой свободный TCP порт. Принимает коннекты на одном порту, обрабатывает на другом - в этом вся проблема.


А что это за извращенный оракл такой? У меня все идет только через один порт.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Aleksey Matveets aka GAL » 22 июл 2003, 12:55

Почему извращенный???
На порту 1521 листенер продолжает ждать след. коннекта
А вот ответ на пришедший запрос уходит с др. порта

Правда Generic Proxy не исп., но с фаерволом помучались.
И если просто прописать правила для порта 1521 (stateful иль нет, все равно) ответа не получишь

Мож чего не так делали (век живи век учись) - поправте
Но на оракловом MetaLinke наши опасения, по поводу своеобразной работы оракла с фаерволом, подтвердили.
CNE/CLE, OCP/MOL, LPIC1

И это пройдет .....
Aleksey Matveets aka GAL
 
Сообщения: 109
Зарегистрирован: 25 авг 2002, 18:14
Откуда: Moscow

Сообщение Сергей Тюкалов » 22 июл 2003, 12:55

Алексей, подскажите плиз как настроить фильтр,
настроил через Generic Proxy, клиент вроде соединяется, но тут же оракловый сервер прерывает соединение.
Сергей Тюкалов
 
Сообщения: 52
Зарегистрирован: 05 июн 2002, 09:13
Откуда: Казань

Сообщение alexp_mac » 23 июл 2003, 09:53

[quote="Сергей Тюкалов"]Алексей, подскажите плиз как настроить фильтр,
настроил через Generic Proxy, клиент вроде соединяется, но тут же оракловый сервер прерывает соединение.[/quote]

Я никакие прокси не использовал, используется статик нат и фильтры, т.е. берете делаете add secondary ip address внешний_адрес_оаклового_сервера, прописываете статик (или статик и динамик) соответствие внутреннего адреса ораклового сервера и внешнего secondary адреса. Затем делаете фильтры: руками вводите новый вид сервиса: в filters.cfg выглядит так:
PROTOCOL-SERVICE IP, oracle-st, pid=TCP port=1521 srcport=<All> ackfilt=0 stfilt=1, oracle TNS listener stateful filter
Далее прописываете откуда снаружи можно иметь доступ к ораклу, фильтр писал stateful, думал глюки будут, но все нормально, выглядит так:
EXCLUDE ENABLED NOLOG, INTRFACE:ETH1 IP:внешний_адрес_откуда_пойдут_к_ораклу, IP:pid=TCP port=1521 srcport=<All> ackfilt=0 stfilt=1, INTRFACE:TR1 IP:внутренний_адрес_ораклового_сервера, oracle

Соответственно eth1 внешний интерфейс, tr1 внутренний.

И все работает.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Aleksey Matveets aka GAL » 23 июл 2003, 11:55

С доступом из Инета к ораклу за ВМ проблем нет, мона обойтись и реверс прокси, ибо все порты на privat интерфейсе открыты, и на исходящий трафик создается динамический фильтр.
С public интерфейсом усе наоборот, все порты закрыты, кроме задействованых в фильтрах.
Процесс коннекта к оракле след.
Клиент в приват зоне стучится в Инет к серверу с ораклой. Создается динамич. фильтр на пропуск пакетов от ораклового сервера с порта 1521 к клиенту. Оракла же перекидывает коннект на любой свободный порт выше 1521. В рез-те ВМ не пропускает пакеты с др. порта (такого фильтра просто нет). Вот и пришлось организовать фильтр разрешающий проход пакетов с любого порта ораклового сервера.
CNE/CLE, OCP/MOL, LPIC1

И это пройдет .....
Aleksey Matveets aka GAL
 
Сообщения: 109
Зарегистрирован: 25 авг 2002, 18:14
Откуда: Moscow

Сообщение alexp_mac » 23 июл 2003, 11:57

. Оракла же перекидывает коннект на любой свободный порт выше 1521.

Не ну что у вас за оракл? У меня ничего никуда не перекидывает, собственно с какого бодуна tns-listener будет что-то куда-то перекидывать? Может у вас оракла на микрософте? у меня на сане.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Aleksey Matveets aka GAL » 23 июл 2003, 12:11

У нас оракла на нетвари

А ты сам попробуй, разместить сервак за ВМ в инете и подключись к нему из приват зоны не настраивая фильтры

Если получтся обсосем идею дальше
Если есть доступ на MetaLink, то поищи по слову firewall
В ближайшую субботу еще раз поиграюсь с фильтрами, вариант кривых рук тож не исключается 8).

А насчет перекидывания на др. порты - сними трассу сам увидишь.
CNE/CLE, OCP/MOL, LPIC1

И это пройдет .....
Aleksey Matveets aka GAL
 
Сообщения: 109
Зарегистрирован: 25 авг 2002, 18:14
Откуда: Moscow

Сообщение alexp_mac » 23 июл 2003, 14:08

[quote="Aleksey Matveets aka GAL"]У нас оракла на нетвари

А ты сам попробуй, разместить сервак за ВМ в инете и подключись к нему из приват зоны не настраивая фильтры.

оракл снаружи это еще проще чем внутри.


Если получтся обсосем идею дальше
Если есть доступ на MetaLink, то поищи по слову firewall
В ближайшую субботу еще раз поиграюсь с фильтрами, вариант кривых рук тож не исключается 8).

А насчет перекидывания на др. порты - сними трассу сам увидишь.[/quote]

А что снимать-то, у меня работает. :) что самое приятное и снаружи и изнутри.

Вот объясни, листенер слушает на порту 1521, с какого бодуна он будет открывать другой порт? у него в конфиге забит порт и все. Зачем еще порты? А если у меня 100 клиентов, что 100 портов открытых будет? или это защита такая, постоянно меняющийся порт. Не я понять этого не могу.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Aleksey Matveets aka GAL » 23 июл 2003, 15:16

Листенер продложает слушать порт 1521, на момент входящего коннекта, а вот после соединения перекидывает коннект на др порт
Как сказали в супорте - это для балансировки нагрузки и менять ничего не будут.
Для случая статик ната, какие фильтры заводил для достукпа к ораклу, который стоит в инете, из локальной сети

А то мож я от усердия, лишнего открыл у себя
CNE/CLE, OCP/MOL, LPIC1

И это пройдет .....
Aleksey Matveets aka GAL
 
Сообщения: 109
Зарегистрирован: 25 авг 2002, 18:14
Откуда: Moscow


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 60

cron