- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 12:29 , 19-Сен-05 (1)
>Добрый день. Хотелось бы услышать ваши рекомендации. Есть локальная сеть за NAT. >Как лучше сделать к ней доступ из общего интернета? В данный >момент, компьютерам, к которым нужен доступ, выделены глобальные ИП адреса и >связаны с их локальными. >Рациональна ли такая схема реализации? Ни в коем разе >Или можно более универсально это сделать? www.netfilter.org - 3-х пальцевое руководство от Русти. А вообще - здесь на сайте "Iptables Tutorial" Андерссона в переводе Киселева
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 12:34 , 19-Сен-05 (2)
К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением там и не пахнет. Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным компьютерам из вне?
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 12:50 , 19-Сен-05 (3)
>К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением >там и не пахнет. >Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным >компьютерам из вне? 1 - Аппаратный-какой? Престижи, динамиксы и пр. имеют в себе встроеный NAT и в реальных адресах внутри не нуждаются. Все маскарадится без дополнительных затрат. 2 - А я имею привычку аппаратный маршрутизатор ставить либо бриджем, либо форвардить все на интерфейс программнго рутера и дальше фильтровать-раздавать его средствами. Две ступени - две защиты.
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 13:05 , 19-Сен-05 (4)
Prestige. Но никак не пойму тогда - как мне попасть из общего интернета на определенный компьютер в локальной сети, если реальный IP адрес будет только на WAN интерфейсе престижа?
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 13:23 , 19-Сен-05 (5)
>Prestige. Убрать проброску и смотреть раздел SUA, настраивать по документации. Кстати, на престиж хоть и числится аппаратным рутером - но внутри него, насколько я знаю, что-то типа старого ядра линукса (2.0, вроде) > Но никак не пойму тогда - как мне попасть из общего >интернета на определенный компьютер в локальной сети, если реальный IP адрес >будет только на WAN интерфейсе престижа? Уууу... Долгая тема. Вкратце - для того NAT и придуман вываливаться в инет, имея один реальный ip на всех. А по большому счету - для начала прочесть на сайте winroute в руководстве (там есть теоретическая часть), что есть NAT и как он работает. В Networking HowTo из линуксового комплекта заглянуть, в M$ TCP/IP Essentials и так далее.
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 13:57 , 19-Сен-05 (7)
Я наверно чтото не так понимаю, либо не так выражаюсь. Допустим, по умолчанию, указал маршрутизатору lan-адрес и подключил к нему локальную сеть. Далее указал ему wan-адрес (реальный ip). Все компьютеры локальной сети будут для внешнего мира иметь именно этот wan в качестве ip. Допустим я хочу присоединится к одному из локальных компьютеров телнетом. Для этого я порт 23 на моем маршрутизаторе перенаправляю на этот самый компьютер и потом пишу "telnet <wan-адрес> 23". Но а если я хочу иметь такой доступ ко всем компьютерам причем хочу использовать для этого один и тотже порт 23? Поидее единственный выход использовать перенаправление адреса, необходимым компьютерам выделить реальные IP-адреса и пропускать их через NAT. Что по вашим словам нельзя делать ни в коем случае. Я запутался =(
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 15:45 , 19-Сен-05 (9)
>Я запутался =( Точно. По пунктам - NAT действует только на _исходящие_ соединения. Т.о. если _изнутри_ телнетом ломиться на любые адреса - пройдет, а снаружи - нет (защита, однако). Поэтому раздается инет через NAT (точнее, SNAT) - и все, и это правильно - нефиг снаружи ломиться в локалку. Когда же нужен доступ снаружи, то входящие пробрасываются (DNAT) на одну единственную машину в сети (не виндовую), и установив входящее соединение с ней, уже на ней запускается нужное. Кто мешает запустить телнет на машине, с которой я установил соединение по телнет? Вот потому у меня двухступенчатая схема... Или - если требуется предоставлять наружу сервисы, крутящиеся на разных машинах внутри локалки, то устраиваем проброску (DNAT) на разные машины в зависимости от порта, на котором сидит сервис. Престиж это тоже спокойно делает. А _полный_неограниченый_ доступ к нескольким машинам в локалке через инет - то тогда давать им реальные ip и выкидывать это в инет или (лучше) на wan повесить кучу алиасов и настроить проброски с адреса на адрес... и даже при втором решении приготовиться хватать вирусы и эксплойты из инета. Судячи по уровню формулировки вопроса, речь идет о виндовых машинах - имел-с гембель в одной конторе, и немалый - через DNAT престижа на виндовую машину там повесили эксплойт на почтоыый сервер.
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 15:50 , 19-Сен-05 (10)
Дополнительно - я сам не совсем тщательно прочел исходный вопрос. Так что в дополнение к тому, что я сказал сейчас - еще доступ можно организовать, сделав кучу vpn (по одному на машину) и залезать в vpn. Но престиж здесь не поможет - ZyWall как минимум, а еще лучше - *nix. Вообще в зависимости от задач можно предложить кучу решений...
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 15:56 , 19-Сен-05 (11)
Значит все ок =) От меня требуется лишь дать доступ к машинам, а безопасность меня не волнует. Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ.Спасибо за консультацию по данному вопросу. Все что надо было для меня прояснилось.
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 16:03 , 19-Сен-05 (12)
>Значит все ок =) >От меня требуется лишь дать доступ к машинам, а безопасность меня не >волнует. >Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ. > >Спасибо за консультацию по данному вопросу. Все что надо было для меня >прояснилось. Ну, в этом случае все ок... Только все же рекомендую тогда сразу предупредить об опасности такого решения, в этом случае за устранение возникших проблем можно получить гонорар - а в ином случае куча наездов и гемора.
- Как лучше организовать доступ к локальной сети через NAT?, NoName, 13:48 , 19-Сен-05 (6)
|