Ад программизма и трэш админства

[metaclass]

Винда на интернет-шлюзе:

Венда в этом разе - ужасный вариант, но по причине того, что помимо шлюза на этом мегаведре еще стоят чудесные клиент-банки, которые ТУПО НЕ РАБОТАЮТ ЧЕРЕЗ НАТ, и об этом ТП говорит прямым текстом, то тут можно только обнять все это хозяйство и плакать

софтина не работает если на одном из интерфейсов стоит не инетовский адрес, я не знаю, что они там натворили, но работает только так

Если мы мне такое попалось - я бы сломал голову, но дрянь эту бы разобрал по косточкам и по возможности придумал костыль для запуска через НАТ, вплоть до VPN в интернеты.
Потому что подход "абы работало", реализуемый через извращения меня бесит. В данном случае извращением являются винда на шлюзе и всякие кульные прожки типа керио или юзергейта. И костыли с извращениями нужно локализовывать, а не ставить их в центре всего.

Comments

[denisioru.livejournal.com]

Причем здесь винда на шлюзе? Если криворукие недопрограммеры сделали клиент-банк, так что он не работает через NAT - причем здесь NAT и причем здесь винда? Я, например, встречал клиент-банк, который САМ формировал TCP-пакеты. И тоже тупо не работал, если маска сети была не 255.255.255.0, а какая-то другая. Про статические маршруты он тоже не знал.

[w00dy.livejournal.com]

> который САМ формировал TCP-пакеты

o_O

Он что, raw socket пользовал?

[denisioru.livejournal.com]

Щас уже не помню, но вроде он напрямую к TDI или ещё куда ниже уровню ходил. Ебанизм карочи.

[w00dy.livejournal.com]

студент писал курсовую работу?

[vp.livejournal.com]

Интересно, а какой был МОТИВ этого всего?

[volodymir-k.livejournal.com]

"Стандартный TCP-IP не работает". Вы ж белорусы, вы ж партизаны, всё по своему, трэба быць незалежным!

[denisioru.livejournal.com]

Понятия не имею. Кто-то совершенно ебанутый на создании велосипедов видимо решил написать. Собственную ОСь ему написать не дали, а вот TCP реализовать самому - ума не хватило запретить :(

[theiced.livejournal.com]

при том что венты на шлюзе быть не должно ни при каких условиях.

клиент-банки это всегда мрак и ужас.

[denisioru.livejournal.com]

> при том что венты на шлюзе быть не должно ни при каких условиях.
orly? :)))))) у меня аж монитор мироточить начал жыром.
Я вот категорически обратного мнения придерживаюсь. ISA или Kerio отлично работают годами.

[sergiej.livejournal.com]

Разобрать по косточкам это круто, в данном случае может быть и применимо, но есть много ситуаций когда я вот точно знаю что можно хакнуть и заставить работать как мна надо, но софт относится к категории "неприкасаемых", по лицензионным, саппортным или политическим соображениям.

[jamhed.livejournal.com]

единственный вариант когда софт не работает через нат -- это когда унутре соединения клиент серверу пытается сообщить свой ip-адрес, который потом сервером используется для каких-то целей.

скорее всего админ чайник, и техподдержка банка такая-же.

[metaclass.livejournal.com]

Тут написали еще один вариант - когда TCP/IP реализуют руками (потому что раньше работали под дос и всегда так делали) :)

[jamhed.livejournal.com]

в udp я бы еще поверил, и то с трудом. самописная реализация tcp - бред.

[trueblacker.livejournal.com]

не для "каких-то целей", а вполне понятно, что для соединения с клиентом же. Просто в базу писать или идентифицировать проблем нет.

[jamhed.livejournal.com]

идентифицировать проблема есть. 1500 клиентов с адресом 192.168.0.2

[tzirechnoy.livejournal.com]

Например, для шыфрования соединения. Да-да, оригинально благословенный всемыи WITFами IPSEC не работал через NAT.

[nicka-startcev.livejournal.com]

Клиент-банки пишет какая-то школота, потому что все деньги попилены!

[trueblacker.livejournal.com]

а что, через VPN - это не "абы работало" ?

[metaclass.livejournal.com]

Нет. В этом случае не нужно будет на одной машине держать шлюз в интернет и клиент-банк. Можно шлюз будет сделать на кошерном линуксе или вообще специализированной железяке, клиент-банк будет торчать всеми физиологическими отверстиям в интернеты в своей песочнице, итд.

[trueblacker.livejournal.com]

Но при этом нужно как-то убедить админов сервера этого клиент-банка настроить роутинг в этот ваш кошерный VPN.
Если VPN есть на серваке искаропки, дело другое, да.

[d4s.livejournal.com]

мне очень понравился подход в MMБанке - отдельный логин/пароль на vpn. обмен сообщениями посредством e-mail и еще одного логина/пароля. доступ к мэйл-серверу только через vpn.
в результате у буха была только одна половина доступа, у админа - вторая. так что "несанкционированно" хер подключишься.

[trueblacker.livejournal.com]

да, у VPNа много плюшек, особенно когда он изначально является частью решения

[oldmann.livejournal.com]

вообще, говнософт, не работающий через NAT, можно в ряде случаев пробросить через netcat.

[jamhed.livejournal.com]

который суть tcp-прокси. и как это поможет решить проблему говнософта, который через нат не работает?

[tzirechnoy.livejournal.com]

Если бы мне такое попалось -- я бы не ломал голову, а купил у провайдэра второй IP-адрес.

Это можэт поначалу показаться странным, но в одном проводе от провайдэра вполне могут ужываться два белых IP-адреса. И дажэ не два...