Необходимо создать правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях.Каким образом в Linux это сделать?
>Необходимо создать правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих
>направлениях.Каким образом в Linux это сделать?о! соратник по проблеме :) сталкивались с этим безобразием
на самом деле проблема с головой у реализаторов проекта (не будем называть имен :) просто до абсурда не компетентные людиесли у тебя ходит IP трафик через шлюз, то и IP 250 пройдет ибо 250 означает более верхний не стандартизированный протокол (например TCP имеет номер 6)
если же у тебя NAT, то можно так
iptables -A PREROUTING -s <IP-Server> -p 250 -j DNAT --to 192.168.10.10IP-Server реалник их сервера к которому ты будешь подключаться
192.168.10.10 твой внутренний адресиспользуй снифер для анализа и прогу portcheck.exe для эмуляции клиента и сервера
если все заработает, то пинай горе разработчиков этого велосипеда
просто интересно, что за протокол 250
и что это за проект :)
точно не знаю секьюрный клиент какой-то гос. структуры
расписан наверно в каком нибудь ТЗ какого нибудь НИИ
у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация они просто не знают, у нас как и обычно свой путь!
>точно не знаю секьюрный клиент какой-то гос. структуры
>расписан наверно в каком нибудь ТЗ какого нибудь НИИ
>у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых
>программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация
>они просто не знают, у нас как и обычно свой путь!
>Спасибо за помощь, да действительно госструктура.
>Спасибо за помощь, да действительно госструктура.Наверно это Казначейство.
У нас тоже похожая проблема:
Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что "Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для следующих соединений в обоих направлениях по следующим портам: TCP-соединение Порты TCP/4439, 4440, 4443
UDP-соединение Порты UDP/4440"
Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось, файрвол для теста вообще отключаю? Что имеется в виду?
>>Спасибо за помощь, да действительно госструктура.
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение
>Порты TCP/4439, 4440, 4443
>UDP-соединение Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?если мы взглянем на структуру IP пакета http://ru.wikipedia.org/wiki/IP
то увидим там такое поле Протокол, оно содержит номер протокола верхнего уровня
так вот наши "велосипедисты" пишут туда число 250
другая часть населения Земли пишет туда другие числа такие как 6, 17 и т.д.
и придумала понятные названия для этих чисел TCP, UDP и другие
"велосипедисты" еще не придумали названияк чему бы это все? если IP протокол ходит то и 6, 17, 250 и др. тоже ходят, им не нужно ни чего открывать!
но! есть такое понятие NAT, когда Вы конектитесь в Интернет с адресом шлюза, но если хотят приконектится к Вам то шлюз без спец. правил не осуществит соединение
Необходимо на шлюзе активировать проброс портов во внутренюю сеть, но нельзя же все пробросить (это не безопасно) вот тут то и можно воспользоваться божественным числом 250, типа для фильтрацииНе знаю что Вы используете для NAT в W2k, например в Kerio есть такое понятие "проброс портов", в стандартном Виндусячем NAT наверно этого нету
с указанными Вами UDP портами тоже надо сделать такую же вещьи хочу еще вот что добавить, если Вы только начинаете все настраивать то конектиться на указанный сервер Казначейства бесполезно, они Вас еще не прописали ...
так что тестируйтесь на их утилите, или на сервере "велосипедистов" адрес есть в документации
>[оверквотинг удален]
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение
>Порты TCP/4439, 4440, 4443
>UDP-соединение Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?судя по описанию - это система АПКШ "Континент" от Информзащиты.
Начиная с версии 3.5 АПКШ "Континент" велосипедисты меняют протокол. Цикл изменений завершится в 3.6 инкапсуляцией в UDP.
так и не стало ясно что делать с эти TCPfuck протоколом ip 250
про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не добился.....
коллега (далеко работает) сказал так - "И пакеты содержат некорректные поля. Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
переводить из за одной программы всех на новый шлюз проблематично да и приобретение isa или другого файрвола - для муниципалов гиморно :(
помогите кто чем может !!!!!
с меня на пиво не заржавеет :)
>[оверквотинг удален]
>250
>про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не
>добился.....
>коллега (далеко работает) сказал так - "И пакеты содержат некорректные поля.
>Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
>
>переводить из за одной программы всех на новый шлюз проблематично да и
>приобретение isa или другого файрвола - для муниципалов гиморно :(
>помогите кто чем может !!!!!
>с меня на пиво не заржавеет :)Точно такой же ГЕМОРОй с этим 250 протоклом!!!!
имеется сетка из роутров CISCO
CISCO 3640 --> CISCO 5400 ---> CISCO 5350 ---> Вышестоящий пров.на 3640 циску по PPPoE конектетяться юзеры (ADSL).
на 5400 циски в сабинтерфейсе сидит казначейство.собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!! (да и смысла в них нету никакого), но ни хера не работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный канал Информзащиты не "запускается". Админы из информазащиты говорят - у вас не идет 250 протокол, у вас там фильтры стоят, и все.((( Но фильтров то нет, ничего "специально" не режиться, в чем дело ума не приложу.((
>[оверквотинг удален]
>на 5400 циски в сабинтерфейсе сидит казначейство.
>
>собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее
>попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!!
>(да и смысла в них нету никакого), но ни хера не
>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>канал Информзащиты не "запускается". Админы из информазащиты говорят - у
>вас не идет 250 протокол, у вас там фильтры стоят, и
>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>дело ума не приложу.((возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь - прога полностью эмулирует работу Континента по портам
>[оверквотинг удален]
>>(да и смысла в них нету никакого), но ни хера не
>>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>>канал Информзащиты не "запускается". Админы из информазащиты говорят - у
>>вас не идет 250 протокол, у вас там фильтры стоят, и
>>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>>дело ума не приложу.((
>
>возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя
>и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь -
>прога полностью эмулирует работу Континента по портамПроблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу с NAT ни в какой форме, что совсем НЕ гуд(((( К примеру у клиента 10 компов, все идут через адсл модем, в модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый комп pppoe и вешать отдельный логин???
>Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу
>с NAT ни в какой форме, что совсем НЕ гуд(((( К
>примеру у клиента 10 компов, все идут через адсл модем, в
>модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый
>комп pppoe и вешать отдельный логин???А можно уточнить: какой NAT используется? В принципе для одного криптошлюза можно попытаться настроить... К нему периодически обращается центр управления сетью, поэтому это правило нужно прописать, ну и собственно обратное тоже лучше явно задать... В версии 3.5 всё инкапсулировано в UDP собственно...
Вообще в версии 3.6 возможно будет поддержка динамического NAТ
Вот вся реализацияiptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE<Server> IP адрес сервера
<Local> IP адрес компьютера с СЭД
>[оверквотинг удален]
>iptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>
><Server> IP адрес сервера
><Local> IP адрес компьютера с СЭДАга, это если у клиента стоит Nix-вая железка или серв.
А если у него тупой адсл модем со "встроенным" NAT ??
>[оверквотинг удален]
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>>
>><Server> IP адрес сервера
>><Local> IP адрес компьютера с СЭД
>
>Ага, это если у клиента стоит Nix-вая железка или серв.
>А если у него тупой адсл модем со "встроенным" NAT ??А какая разница ? У меня клиент стоит на Windows а роутер на CentOS. На стороне клиента основным шлюзом пишим IP роутера.
>>[оверквотинг удален]
>>.... а роутер на CentOS.В этом разница!
Для клиента модем является роутером, так как именно модем конектится по PPPoE, получает внешний IP и пускает юзера в инет под этим IP используя "свой" NAT.
>В этом разница!
>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>получает внешний IP и пускает юзера в инет под этим IP
>используя "свой" NAT.iles Читай самое первое сообщение и сразу все станет ясно.
>>В этом разница!
>>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>>получает внешний IP и пускает юзера в инет под этим IP
>>используя "свой" NAT.
>
>iles Читай самое первое сообщение и сразу все станет ясно.Пля... ссори, ступил. Я просто тоже писал по такой же проблеме (там НЕ про Linux было), и решил что это "тот-же" топик.
Ребята, а нужен ли он вообще?
iptables -A FORWARD -s $KATYA -d $CONTINENTSERV -p udp --sport 7500 --dport 4433 -o $inet -j ACCEPTгде
$KATYA компьютер с континентом
$CONTINENTSERV сервер континента
$inet интернет-интерфейс на шлюзебольше он никуда и не ходит