forum.opennet.ru

Форум Открытые системы на сервере (Маршрутизация, NAT)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg (??), 19-Сен-05, (0) [смотреть все]

Ни в коем разеwww netfilter org - 3-х пальцевое руководство от Русти А вообще - , _KAV_ (??), 12:29 , 19-Сен-05, (1) //

К сожалению, в качестве шлюза используется аппаратный муршрутизатор Поэтому под, Rivalryzerg (??), 12:34 , 19-Сен-05, (2) //

1 - Аппаратный-какой Престижи, динамиксы и пр имеют в себе встроеный NAT и в р, _KAV_ (??), 12:50 , 19-Сен-05, (3) //

Prestige Но никак не пойму тогда - как мне попасть из общего интернета на опред, Rivalryzerg (??), 13:05 , 19-Сен-05, (4)

Убрать проброску и смотреть раздел SUA, настраивать по документации Кстати, на п, _KAV_ (??), 13:23 , 19-Сен-05, (5)

Я наверно чтото не так понимаю, либо не так выражаюсь Допустим, по умолчанию, ук, Rivalryzerg (??), 13:57 , 19-Сен-05, (7)

Точно По пунктам - NAT действует только на _исходящие_ соединения Т о если _из, _KAV_ (??), 15:45 , 19-Сен-05, (9)

Дополнительно - я сам не совсем тщательно прочел исходный вопрос Так что в допол, _KAV_ (??), 15:50 , 19-Сен-05, (10)

Значит все ок От меня требуется лишь дать доступ к машинам, а безопасность мен, Rivalryzerg (??), 15:56 , 19-Сен-05, (11)

Ну, в этом случае все ок Только все же рекомендую тогда сразу предупредить об, _KAV_ (??), 16:03 , 19-Сен-05, (12)

MPD FreeRDIUS NIBS спасет отца русской демократии Делаем по статье http surgu, NoName (?), 13:48 , 19-Сен-05, (6) //

Не спасет Маршрутизатор железка по имени zyxel престиж , Rivalryzerg (??), 14:00 , 19-Сен-05, (8)

Сообщения [Сортировка по времени | RSS]

1. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 12:29

>Добрый день. Хотелось бы услышать ваши рекомендации. Есть локальная сеть за NAT.
>Как лучше сделать к ней доступ из общего интернета? В данный
>момент, компьютерам, к которым нужен доступ, выделены глобальные ИП адреса и
>связаны с их локальными.
>Рациональна ли такая схема реализации?
Ни в коем разе
>Или можно более универсально это сделать?
www.netfilter.org - 3-х пальцевое руководство от Русти.
А вообще - здесь на сайте "Iptables Tutorial" Андерссона в переводе Киселева

Ответить | Правка | Наверх | Cообщить модератору

2. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от Rivalryzerg (??), 19-Сен-05, 12:34

К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением там и не пахнет.
Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным компьютерам из вне?

Ответить | Правка | Наверх | Cообщить модератору

3. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 12:50

>К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением
>там и не пахнет.
>Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным
>компьютерам из вне?
1 - Аппаратный-какой? Престижи, динамиксы и пр. имеют в себе встроеный NAT и в реальных адресах внутри не нуждаются. Все маскарадится без дополнительных затрат.
2 - А я имею привычку аппаратный маршрутизатор ставить либо бриджем, либо форвардить все на интерфейс программнго рутера и дальше фильтровать-раздавать его средствами. Две ступени - две защиты.

Ответить | Правка | Наверх | Cообщить модератору

4. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от Rivalryzerg (??), 19-Сен-05, 13:05

Prestige. Но никак не пойму тогда - как мне попасть из общего интернета на определенный компьютер в локальной сети, если реальный IP адрес будет только на WAN интерфейсе престижа?

Ответить | Правка | Наверх | Cообщить модератору

5. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 13:23

>Prestige.
Убрать проброску и смотреть раздел SUA, настраивать по документации.
Кстати, на престиж хоть и числится аппаратным рутером - но внутри него, насколько я знаю, что-то типа старого ядра линукса (2.0, вроде)
> Но никак не пойму тогда - как мне попасть из общего
>интернета на определенный компьютер в локальной сети, если реальный IP адрес
>будет только на WAN интерфейсе престижа?
Уууу... Долгая тема. Вкратце - для того NAT и придуман вываливаться в инет, имея один реальный ip на всех. А по большому счету - для начала прочесть на сайте winroute в руководстве (там есть теоретическая часть), что есть NAT и как он работает. В Networking HowTo из линуксового комплекта заглянуть, в M$ TCP/IP Essentials и так далее.

Ответить | Правка | Наверх | Cообщить модератору

7. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от Rivalryzerg (??), 19-Сен-05, 13:57

Я наверно чтото не так понимаю, либо не так выражаюсь.
Допустим, по умолчанию, указал маршрутизатору lan-адрес и подключил к нему локальную сеть. Далее указал ему wan-адрес (реальный ip). Все компьютеры локальной сети будут для внешнего мира иметь именно этот wan в качестве ip. Допустим я хочу присоединится к одному из локальных компьютеров телнетом. Для этого я порт 23 на моем маршрутизаторе перенаправляю на этот самый компьютер и потом пишу "telnet <wan-адрес> 23". Но а если я хочу иметь такой доступ ко всем компьютерам причем хочу использовать для этого один и тотже порт 23? Поидее единственный выход использовать перенаправление адреса, необходимым компьютерам выделить реальные IP-адреса и пропускать их через NAT. Что по вашим словам нельзя делать ни в коем случае.
Я запутался =(

Ответить | Правка | Наверх | Cообщить модератору

9. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 15:45

>Я запутался =(
Точно.
По пунктам - NAT действует только на _исходящие_ соединения. Т.о. если _изнутри_ телнетом ломиться на любые адреса - пройдет, а снаружи - нет (защита, однако).
Поэтому раздается инет через NAT (точнее, SNAT) - и все, и это правильно - нефиг снаружи ломиться в локалку. Когда же нужен доступ снаружи, то входящие пробрасываются (DNAT) на одну единственную машину в сети (не виндовую), и установив входящее соединение с ней, уже на ней запускается нужное.
Кто мешает запустить телнет на машине, с которой я установил соединение по телнет?
Вот потому у меня двухступенчатая схема...
Или - если требуется предоставлять наружу сервисы, крутящиеся на разных машинах внутри локалки, то устраиваем проброску (DNAT) на разные машины в зависимости от порта, на котором сидит сервис. Престиж это тоже спокойно делает.
А _полный_неограниченый_ доступ к нескольким машинам в локалке через инет - то тогда давать им реальные ip и выкидывать это в инет или (лучше) на wan повесить кучу алиасов и настроить проброски с адреса на адрес... и даже при втором решении приготовиться хватать вирусы и эксплойты из инета. Судячи по уровню формулировки вопроса, речь идет о виндовых машинах - имел-с гембель в одной конторе, и немалый - через DNAT престижа на виндовую машину там повесили эксплойт на почтоыый сервер.

Ответить | Правка | Наверх | Cообщить модератору

10. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 15:50

Дополнительно - я сам не совсем тщательно прочел исходный вопрос.
Так что в дополнение к тому, что я сказал сейчас - еще доступ можно организовать, сделав кучу vpn (по одному на машину) и залезать в vpn.
Но престиж здесь не поможет - ZyWall как минимум, а еще лучше - *nix.
Вообще в зависимости от задач можно предложить кучу решений...

Ответить | Правка | Наверх | Cообщить модератору

11. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от Rivalryzerg (??), 19-Сен-05, 15:56

Значит все ок =)
От меня требуется лишь дать доступ к машинам, а безопасность меня не волнует.
Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ.
Спасибо за консультацию по данному вопросу. Все что надо было для меня прояснилось.

Ответить | Правка | Наверх | Cообщить модератору

12. "Как лучше организовать доступ к локальной сети через NAT?" +/–

Сообщение от _KAV_ (??), 19-Сен-05, 16:03

>Значит все ок =)
>От меня требуется лишь дать доступ к машинам, а безопасность меня не
>волнует.
>Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ.
>
>Спасибо за консультацию по данному вопросу. Все что надо было для меня
>прояснилось.
Ну, в этом случае все ок... Только все же рекомендую тогда сразу предупредить об опасности такого решения, в этом случае за устранение возникших проблем можно получить гонорар - а в ином случае куча наездов и гемора.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
Сообщение от _KAV_ (??), 19-Сен-05, 12:29
>Добрый день. Хотелось бы услышать ваши рекомендации. Есть локальная сеть за NAT. >Как лучше сделать к ней доступ из общего интернета? В данный >момент, компьютерам, к которым нужен доступ, выделены глобальные ИП адреса и >связаны с их локальными. >Рациональна ли такая схема реализации? Ни в коем разе >Или можно более универсально это сделать? www.netfilter.org - 3-х пальцевое руководство от Русти. А вообще - здесь на сайте "Iptables Tutorial" Андерссона в переводе Киселева
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от Rivalryzerg (??), 19-Сен-05, 12:34
	К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением там и не пахнет. Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным компьютерам из вне?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от _KAV_ (??), 19-Сен-05, 12:50
	>К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением >там и не пахнет. >Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным >компьютерам из вне? 1 - Аппаратный-какой? Престижи, динамиксы и пр. имеют в себе встроеный NAT и в реальных адресах внутри не нуждаются. Все маскарадится без дополнительных затрат. 2 - А я имею привычку аппаратный маршрутизатор ставить либо бриджем, либо форвардить все на интерфейс программнго рутера и дальше фильтровать-раздавать его средствами. Две ступени - две защиты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от Rivalryzerg (??), 19-Сен-05, 13:05
	Prestige. Но никак не пойму тогда - как мне попасть из общего интернета на определенный компьютер в локальной сети, если реальный IP адрес будет только на WAN интерфейсе престижа?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от _KAV_ (??), 19-Сен-05, 13:23
	>Prestige. Убрать проброску и смотреть раздел SUA, настраивать по документации. Кстати, на престиж хоть и числится аппаратным рутером - но внутри него, насколько я знаю, что-то типа старого ядра линукса (2.0, вроде) > Но никак не пойму тогда - как мне попасть из общего >интернета на определенный компьютер в локальной сети, если реальный IP адрес >будет только на WAN интерфейсе престижа? Уууу... Долгая тема. Вкратце - для того NAT и придуман вываливаться в инет, имея один реальный ip на всех. А по большому счету - для начала прочесть на сайте winroute в руководстве (там есть теоретическая часть), что есть NAT и как он работает. В Networking HowTo из линуксового комплекта заглянуть, в M$ TCP/IP Essentials и так далее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от Rivalryzerg (??), 19-Сен-05, 13:57
	Я наверно чтото не так понимаю, либо не так выражаюсь. Допустим, по умолчанию, указал маршрутизатору lan-адрес и подключил к нему локальную сеть. Далее указал ему wan-адрес (реальный ip). Все компьютеры локальной сети будут для внешнего мира иметь именно этот wan в качестве ip. Допустим я хочу присоединится к одному из локальных компьютеров телнетом. Для этого я порт 23 на моем маршрутизаторе перенаправляю на этот самый компьютер и потом пишу "telnet <wan-адрес> 23". Но а если я хочу иметь такой доступ ко всем компьютерам причем хочу использовать для этого один и тотже порт 23? Поидее единственный выход использовать перенаправление адреса, необходимым компьютерам выделить реальные IP-адреса и пропускать их через NAT. Что по вашим словам нельзя делать ни в коем случае. Я запутался =(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от _KAV_ (??), 19-Сен-05, 15:45
	>Я запутался =( Точно. По пунктам - NAT действует только на _исходящие_ соединения. Т.о. если _изнутри_ телнетом ломиться на любые адреса - пройдет, а снаружи - нет (защита, однако). Поэтому раздается инет через NAT (точнее, SNAT) - и все, и это правильно - нефиг снаружи ломиться в локалку. Когда же нужен доступ снаружи, то входящие пробрасываются (DNAT) на одну единственную машину в сети (не виндовую), и установив входящее соединение с ней, уже на ней запускается нужное. Кто мешает запустить телнет на машине, с которой я установил соединение по телнет? Вот потому у меня двухступенчатая схема... Или - если требуется предоставлять наружу сервисы, крутящиеся на разных машинах внутри локалки, то устраиваем проброску (DNAT) на разные машины в зависимости от порта, на котором сидит сервис. Престиж это тоже спокойно делает. А _полный_неограниченый_ доступ к нескольким машинам в локалке через инет - то тогда давать им реальные ip и выкидывать это в инет или (лучше) на wan повесить кучу алиасов и настроить проброски с адреса на адрес... и даже при втором решении приготовиться хватать вирусы и эксплойты из инета. Судячи по уровню формулировки вопроса, речь идет о виндовых машинах - имел-с гембель в одной конторе, и немалый - через DNAT престижа на виндовую машину там повесили эксплойт на почтоыый сервер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от _KAV_ (??), 19-Сен-05, 15:50
	Дополнительно - я сам не совсем тщательно прочел исходный вопрос. Так что в дополнение к тому, что я сказал сейчас - еще доступ можно организовать, сделав кучу vpn (по одному на машину) и залезать в vpn. Но престиж здесь не поможет - ZyWall как минимум, а еще лучше - *nix. Вообще в зависимости от задач можно предложить кучу решений...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от Rivalryzerg (??), 19-Сен-05, 15:56
	Значит все ок =) От меня требуется лишь дать доступ к машинам, а безопасность меня не волнует. Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ. Спасибо за консультацию по данному вопросу. Все что надо было для меня прояснилось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Как лучше организовать доступ к локальной сети через NAT?"	+/–
	Сообщение от _KAV_ (??), 19-Сен-05, 16:03
	>Значит все ок =) >От меня требуется лишь дать доступ к машинам, а безопасность меня не >волнует. >Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ. > >Спасибо за консультацию по данному вопросу. Все что надо было для меня >прояснилось. Ну, в этом случае все ок... Только все же рекомендую тогда сразу предупредить об опасности такого решения, в этом случае за устранение возникших проблем можно получить гонорар - а в ином случае куча наездов и гемора.
	Ответить \| Правка \| Наверх \| Cообщить модератору