URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3328
[ Назад ]

Исходное сообщение
"Протокол IP 250"

Отправлено vladisllav , 07-Июн-07 11:42 
Необходимо создать  правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях.Каким образом в Linux это сделать?

Содержание

Сообщения в этом обсуждении
"Протокол IP 250"
Отправлено Slimm , 07-Июн-07 14:19 
>Необходимо создать  правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих
>направлениях.Каким образом в Linux это сделать?

о! соратник по проблеме :) сталкивались с этим безобразием
на самом деле проблема с головой у реализаторов проекта (не будем называть имен :) просто до абсурда не компетентные люди

если у тебя ходит IP трафик через шлюз, то и IP 250 пройдет ибо 250 означает более верхний не стандартизированный протокол (например TCP имеет номер 6)
если же у тебя NAT, то можно так
iptables -A PREROUTING -s <IP-Server> -p 250 -j DNAT --to 192.168.10.10

IP-Server реалник их сервера к которому ты будешь подключаться
192.168.10.10 твой внутренний адрес

используй снифер для анализа и прогу portcheck.exe для эмуляции клиента и сервера
если все заработает, то пинай горе разработчиков этого велосипеда


"Протокол IP 250"
Отправлено chocholl , 08-Июн-07 08:40 
просто интересно, что за протокол 250
и что это за проект :)

"Протокол IP 250"
Отправлено Slimm , 09-Июн-07 16:50 
точно не знаю секьюрный клиент какой-то гос. структуры
расписан наверно в каком нибудь ТЗ какого нибудь НИИ
у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация они просто не знают, у нас как и обычно свой путь!



"Протокол IP 250"
Отправлено vladisllav , 14-Июн-07 11:20 
>точно не знаю секьюрный клиент какой-то гос. структуры
>расписан наверно в каком нибудь ТЗ какого нибудь НИИ
>у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых
>программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация
>они просто не знают, у нас как и обычно свой путь!
>

Спасибо за помощь, да действительно госструктура.


"Протокол IP 250"
Отправлено Fant , 20-Июн-07 14:43 
>Спасибо за помощь, да действительно госструктура.

Наверно это Казначейство.
У нас тоже похожая проблема:
Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что "Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для следующих соединений в обоих направлениях по следующим портам: TCP-соединение   Порты TCP/4439, 4440, 4443
UDP-соединение   Порты UDP/4440"
Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось, файрвол для теста вообще отключаю? Что имеется в виду?


"Протокол IP 250"
Отправлено Slimm , 21-Июн-07 20:45 
>>Спасибо за помощь, да действительно госструктура.
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение  
>Порты TCP/4439, 4440, 4443
>UDP-соединение   Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?

если мы взглянем на структуру IP пакета http://ru.wikipedia.org/wiki/IP
то увидим там такое поле Протокол, оно содержит номер протокола верхнего уровня
так вот наши "велосипедисты" пишут туда число 250
другая часть населения Земли пишет туда другие числа такие как 6, 17 и т.д.
и придумала понятные названия для этих чисел TCP, UDP и другие
"велосипедисты" еще не придумали названия

к чему бы это все? если IP протокол ходит то и 6, 17, 250 и др. тоже ходят, им не нужно ни чего открывать!

но! есть такое понятие NAT, когда Вы конектитесь в Интернет с адресом шлюза, но если хотят приконектится к Вам то шлюз без спец. правил не осуществит соединение
Необходимо на шлюзе активировать проброс портов во внутренюю сеть, но нельзя же все пробросить (это не безопасно) вот тут то и можно воспользоваться божественным числом 250, типа для фильтрации

Не знаю что Вы используете для NAT в W2k, например в Kerio есть такое понятие "проброс портов", в стандартном Виндусячем NAT наверно этого нету
с указанными Вами UDP портами тоже надо сделать такую же вещь

и хочу еще вот что добавить, если Вы только начинаете все настраивать то конектиться на указанный сервер Казначейства бесполезно, они Вас еще не прописали ...
так что тестируйтесь на их утилите, или на сервере "велосипедистов" адрес есть в документации


"Протокол IP 250"
Отправлено stolmik , 18-Сен-07 14:45 
>[оверквотинг удален]
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение  
>Порты TCP/4439, 4440, 4443
>UDP-соединение   Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?

судя по описанию - это система АПКШ "Континент" от Информзащиты.


"Протокол IP 250"
Отправлено Oleg , 04-Фев-08 18:30 
Начиная с версии 3.5 АПКШ "Континент" велосипедисты меняют протокол. Цикл изменений завершится в 3.6 инкапсуляцией в UDP.

"Протокол IP 250"
Отправлено Romer , 15-Ноя-08 17:50 
так и не стало ясно что делать с эти TCPfuck протоколом ip 250
про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не добился.....
коллега (далеко работает) сказал так -  "И пакеты содержат некорректные поля. Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
переводить из за одной программы всех на новый шлюз проблематично да и приобретение isa или другого файрвола - для муниципалов гиморно :(
помогите кто чем может !!!!!
с меня на пиво не заржавеет :)

"Протокол IP 250"
Отправлено iles , 29-Янв-09 12:54 
>[оверквотинг удален]
>250
>про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не
>добился.....
>коллега (далеко работает) сказал так -  "И пакеты содержат некорректные поля.
>Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
>
>переводить из за одной программы всех на новый шлюз проблематично да и
>приобретение isa или другого файрвола - для муниципалов гиморно :(
>помогите кто чем может !!!!!
>с меня на пиво не заржавеет :)

Точно такой же ГЕМОРОй с этим 250 протоклом!!!!
имеется сетка из роутров CISCO
CISCO 3640 --> CISCO 5400 ---> CISCO 5350 ---> Вышестоящий пров.

на 3640 циску по PPPoE конектетяться юзеры (ADSL).
на 5400 циски в сабинтерфейсе сидит казначейство.

собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!! (да и смысла в них нету никакого), но ни хера не работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный канал Информзащиты не "запускается". Админы из информазащиты говорят -  у вас не идет 250 протокол, у вас там фильтры стоят, и все.((( Но фильтров то нет, ничего "специально" не режиться, в чем дело ума не приложу.((


"Протокол IP 250"
Отправлено RusLan , 03-Мрт-09 12:49 
>[оверквотинг удален]
>на 5400 циски в сабинтерфейсе сидит казначейство.
>
>собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее
>попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!!
>(да и смысла в них нету никакого), но ни хера не
>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>канал Информзащиты не "запускается". Админы из информазащиты говорят -  у
>вас не идет 250 протокол, у вас там фильтры стоят, и
>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>дело ума не приложу.((

возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь - прога полностью эмулирует работу Континента по портам


"Протокол IP 250"
Отправлено iles , 03-Мрт-09 14:34 
>[оверквотинг удален]
>>(да и смысла в них нету никакого), но ни хера не
>>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>>канал Информзащиты не "запускается". Админы из информазащиты говорят -  у
>>вас не идет 250 протокол, у вас там фильтры стоят, и
>>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>>дело ума не приложу.((
>
>возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя
>и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь -
>прога полностью эмулирует работу Континента по портам

Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу с NAT ни в какой форме, что совсем НЕ гуд(((( К примеру у клиента 10 компов, все идут через адсл модем, в модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый комп pppoe и вешать отдельный логин???


"Протокол IP 250"
Отправлено Олег , 04-Май-09 22:53 
>Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу
>с NAT ни в какой форме, что совсем НЕ гуд(((( К
>примеру у клиента 10 компов, все идут через адсл модем, в
>модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый
>комп pppoe и вешать отдельный логин???

А можно уточнить: какой NAT используется? В принципе для одного криптошлюза можно попытаться настроить... К нему периодически обращается центр управления сетью, поэтому это правило нужно прописать, ну и собственно обратное тоже лучше явно задать... В версии 3.5 всё инкапсулировано в UDP собственно...
Вообще в версии 3.6 возможно будет поддержка динамического NAТ


"Протокол IP 250"
Отправлено DSRClient , 21-Янв-10 08:38 
Вот вся реализация

iptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440  -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE

<Server> IP адрес сервера
<Local> IP адрес компьютера с СЭД


"Протокол IP 250"
Отправлено iles , 21-Янв-10 13:56 
>[оверквотинг удален]
>iptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440  -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>
><Server> IP адрес сервера
><Local> IP адрес компьютера с СЭД

Ага, это если у клиента стоит Nix-вая железка или серв.
А если у него тупой адсл модем со "встроенным" NAT ??


"Протокол IP 250"
Отправлено DSRClient , 22-Янв-10 02:18 
>[оверквотинг удален]
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>>
>><Server> IP адрес сервера
>><Local> IP адрес компьютера с СЭД
>
>Ага, это если у клиента стоит Nix-вая железка или серв.
>А если у него тупой адсл модем со "встроенным" NAT ??

А какая разница ? У меня клиент стоит на Windows а роутер на CentOS. На стороне клиента основным шлюзом пишим IP роутера.


"Протокол IP 250"
Отправлено iles , 22-Янв-10 13:26 
>>[оверквотинг удален]
>>.... а роутер на CentOS.

В этом разница!
Для клиента модем является роутером, так как именно модем конектится по PPPoE, получает внешний IP и пускает юзера в инет под этим IP используя "свой" NAT.



"Протокол IP 250"
Отправлено DSRClient , 27-Янв-10 07:10 
>В этом разница!
>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>получает внешний IP и пускает юзера в инет под этим IP
>используя "свой" NAT.

iles Читай самое первое сообщение и сразу все станет ясно.


"Протокол IP 250"
Отправлено iles , 27-Янв-10 09:55 
>>В этом разница!
>>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>>получает внешний IP и пускает юзера в инет под этим IP
>>используя "свой" NAT.
>
>iles Читай самое первое сообщение и сразу все станет ясно.

Пля... ссори, ступил. Я просто тоже писал по такой же проблеме (там НЕ про Linux было), и решил что это "тот-же" топик.


"Протокол IP 250"
Отправлено spider_fingers , 16-Дек-10 14:09 
Ребята, а нужен ли он вообще?


iptables -A FORWARD -s $KATYA -d $CONTINENTSERV -p udp --sport 7500 --dport 4433 -o $inet -j ACCEPT

где
$KATYA компьютер с континентом
$CONTINENTSERV сервер континента
$inet интернет-интерфейс на шлюзе

больше он никуда и не ходит