- Как лучше организовать доступ к локальной сети через NAT?,
 _KAV_, 12:29 , 19-Сен-05 (1)>Добрый день. Хотелось бы услышать ваши рекомендации. Есть локальная сеть за NAT.
>Как лучше сделать к ней доступ из общего интернета? В данный
>момент, компьютерам, к которым нужен доступ, выделены глобальные ИП адреса и
>связаны с их локальными.
>Рациональна ли такая схема реализации?
Ни в коем разе
>Или можно более универсально это сделать?
www.netfilter.org - 3-х пальцевое руководство от Русти.
А вообще - здесь на сайте "Iptables Tutorial" Андерссона в переводе Киселева
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 12:34 , 19-Сен-05 (2)
К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением там и не пахнет.
Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным компьютерам из вне?
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 12:50 , 19-Сен-05 (3)
>К сожалению, в качестве шлюза используется аппаратный муршрутизатор. Поэтому подобным программным обеспечением
>там и не пахнет.
>Можно ли гдето прочитать или узнать, как реализовывать подобный доступ к локальным
>компьютерам из вне?
1 - Аппаратный-какой? Престижи, динамиксы и пр. имеют в себе встроеный NAT и в реальных адресах внутри не нуждаются. Все маскарадится без дополнительных затрат.
2 - А я имею привычку аппаратный маршрутизатор ставить либо бриджем, либо форвардить все на интерфейс программнго рутера и дальше фильтровать-раздавать его средствами. Две ступени - две защиты.
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 13:05 , 19-Сен-05 (4)
Prestige. Но никак не пойму тогда - как мне попасть из общего интернета на определенный компьютер в локальной сети, если реальный IP адрес будет только на WAN интерфейсе престижа?
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 13:23 , 19-Сен-05 (5)
>Prestige.
Убрать проброску и смотреть раздел SUA, настраивать по документации.
Кстати, на престиж хоть и числится аппаратным рутером - но внутри него, насколько я знаю, что-то типа старого ядра линукса (2.0, вроде)
> Но никак не пойму тогда - как мне попасть из общего
>интернета на определенный компьютер в локальной сети, если реальный IP адрес
>будет только на WAN интерфейсе престижа?
Уууу... Долгая тема. Вкратце - для того NAT и придуман вываливаться в инет, имея один реальный ip на всех. А по большому счету - для начала прочесть на сайте winroute в руководстве (там есть теоретическая часть), что есть NAT и как он работает. В Networking HowTo из линуксового комплекта заглянуть, в M$ TCP/IP Essentials и так далее.
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 13:57 , 19-Сен-05 (7)
Я наверно чтото не так понимаю, либо не так выражаюсь.
Допустим, по умолчанию, указал маршрутизатору lan-адрес и подключил к нему локальную сеть. Далее указал ему wan-адрес (реальный ip). Все компьютеры локальной сети будут для внешнего мира иметь именно этот wan в качестве ip. Допустим я хочу присоединится к одному из локальных компьютеров телнетом. Для этого я порт 23 на моем маршрутизаторе перенаправляю на этот самый компьютер и потом пишу "telnet <wan-адрес> 23". Но а если я хочу иметь такой доступ ко всем компьютерам причем хочу использовать для этого один и тотже порт 23? Поидее единственный выход использовать перенаправление адреса, необходимым компьютерам выделить реальные IP-адреса и пропускать их через NAT. Что по вашим словам нельзя делать ни в коем случае.
Я запутался =(
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 15:45 , 19-Сен-05 (9)
>Я запутался =( Точно.
По пунктам - NAT действует только на _исходящие_ соединения. Т.о. если _изнутри_ телнетом ломиться на любые адреса - пройдет, а снаружи - нет (защита, однако).
Поэтому раздается инет через NAT (точнее, SNAT) - и все, и это правильно - нефиг снаружи ломиться в локалку. Когда же нужен доступ снаружи, то входящие пробрасываются (DNAT) на одну единственную машину в сети (не виндовую), и установив входящее соединение с ней, уже на ней запускается нужное.
Кто мешает запустить телнет на машине, с которой я установил соединение по телнет?
Вот потому у меня двухступенчатая схема...
Или - если требуется предоставлять наружу сервисы, крутящиеся на разных машинах внутри локалки, то устраиваем проброску (DNAT) на разные машины в зависимости от порта, на котором сидит сервис. Престиж это тоже спокойно делает.
А _полный_неограниченый_ доступ к нескольким машинам в локалке через инет - то тогда давать им реальные ip и выкидывать это в инет или (лучше) на wan повесить кучу алиасов и настроить проброски с адреса на адрес... и даже при втором решении приготовиться хватать вирусы и эксплойты из инета. Судячи по уровню формулировки вопроса, речь идет о виндовых машинах - имел-с гембель в одной конторе, и немалый - через DNAT престижа на виндовую машину там повесили эксплойт на почтоыый сервер.
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 15:50 , 19-Сен-05 (10)
Дополнительно - я сам не совсем тщательно прочел исходный вопрос.
Так что в дополнение к тому, что я сказал сейчас - еще доступ можно организовать, сделав кучу vpn (по одному на машину) и залезать в vpn.
Но престиж здесь не поможет - ZyWall как минимум, а еще лучше - *nix.
Вообще в зависимости от задач можно предложить кучу решений...
- Как лучше организовать доступ к локальной сети через NAT?, Rivalryzerg, 15:56 , 19-Сен-05 (11)
Значит все ок =)
От меня требуется лишь дать доступ к машинам, а безопасность меня не волнует.
Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ.Спасибо за консультацию по данному вопросу. Все что надо было для меня прояснилось.
- Как лучше организовать доступ к локальной сети через NAT?, _KAV_, 16:03 , 19-Сен-05 (12)
>Значит все ок =)
>От меня требуется лишь дать доступ к машинам, а безопасность меня не
>волнует.
>Остановлюсь на реальных айпишниках для каждой машины, к которой требуется доступ.
>
>Спасибо за консультацию по данному вопросу. Все что надо было для меня
>прояснилось.
Ну, в этом случае все ок... Только все же рекомендую тогда сразу предупредить об опасности такого решения, в этом случае за устранение возникших проблем можно получить гонорар - а в ином случае куча наездов и гемора.
- Как лучше организовать доступ к локальной сети через NAT?, NoName, 13:48 , 19-Сен-05 (6)
|
Версия для распечатки
Как лучше организовать доступ к локальной сети через NAT?, 
