Ад программизма и трэш админства

[metaclass]

Винда на интернет-шлюзе:

Венда в этом разе - ужасный вариант, но по причине того, что помимо шлюза на этом мегаведре еще стоят чудесные клиент-банки, которые ТУПО НЕ РАБОТАЮТ ЧЕРЕЗ НАТ, и об этом ТП говорит прямым текстом, то тут можно только обнять все это хозяйство и плакать

софтина не работает если на одном из интерфейсов стоит не инетовский адрес, я не знаю, что они там натворили, но работает только так

Если мы мне такое попалось - я бы сломал голову, но дрянь эту бы разобрал по косточкам и по возможности придумал костыль для запуска через НАТ, вплоть до VPN в интернеты.
Потому что подход "абы работало", реализуемый через извращения меня бесит. В данном случае извращением являются винда на шлюзе и всякие кульные прожки типа керио или юзергейта. И костыли с извращениями нужно локализовывать, а не ставить их в центре всего.

Comments

[jamhed.livejournal.com]

дятел, и неблагодарный

[metaclass.livejournal.com]

Да элементарно. Я ж говорю - приходит пакет, в нем адрес и порт откуда пришло и адрес и порт куда должно придти - первое разное(разные клиенты), второе одинаковое(сервер). По паре "откуда пришло" содержимое пакета запиливается в нужный акцептированный сокет, ну или там новое соединение создается.

[jamhed.livejournal.com]

> ну или там новое соединение создается.

правильнее сказать что происходит accept на слушающем сокете, и если somaxconn не превышен.

[metaclass.livejournal.com]

Цитата из википедии:
"Arriving TCP data packets are identified as belonging to a specific TCP connection by its sockets, that is, the combination of source host address, source port, destination host address, and destination port. This means that a server computer can provide several clients with several services simultaneously, as long as a client takes care of initiating any simultaneous connections to one destination port from different source ports."

Соединение идентифицируется набором из 4 чисел.
На сервере не нужно выделять никаких портов дополнительно, потому что соединение на которое приходит пакет, уникально определяется исходящим адресом-портом.
Мне шо, в исходники TCP стека лезть теперь и проверять очевидные истины?:)

[trueblacker.livejournal.com]

нда, похоже я таки прогнал
всем спасибо, виноват

[trueblacker.livejournal.com]

благодарю за вашу настойчивость
похоже, я был неправ

[metaclass.livejournal.com]

Главное чтобы теперь не пришли благодарные читатели и не начали в эту ветку переубеждать дальше :)

[jamhed.livejournal.com]

:) редкий случай для жж.

[trueblacker.livejournal.com]

главное что истина торжествует :-)
в гумантираных спорах такие ветки можно продолжать много дольше

[trueblacker.livejournal.com]

кстати, в пылу спора забыли про основной вопрос. Все эти нюансы с наличием или отсутствием уникального серверного порта ничем не отличаются с т.з. идентификации и работают только при живом соединении.
Я предполагал, что спор пойдёт именно по этой ветке, после чего мы плавно перейдём к недостаткам собсно протокола клиент-банка, который сильно полагается на нижний уровень там, где не должен

[metaclass.livejournal.com]

Вот мне как раз и интересно, что же они такое сделали, что нужен прямой IP адрес - неужели открывают порт и ждут соединение от сервера, да таким образом, что ни один стандартный НАТ этого не понимает.

[jamhed.livejournal.com]

речь шла о том, что клиент соединяется с сервером из под nat и для каких то целей передает серверу свой локальный ip и порт. локальный ип и порт при большом числа клиентов будут совпадающими для нескольких по причинам которые я уже изложил. поэтому для аутентификации эта информация бесполезна, т.к. не позволяет клиента идентифицировать однозначно.

я вообще затрудняюсь представить ситуацию, когда бы эта информация (локальный ип-порт) имела бы смысл в контексте рассматриваемой задачи (клиент-банк), которой, по сути, тождественно равняется почтовой системе с некоторыми шаблонами. которую каждый неуважающий себя банк трижды изобрел с нуля (под dos, под windows, под internet).

[trueblacker.livejournal.com]

это единственное объяснение, пожалуй.
И я даже знаю кое-какие варианты ответа, почему такое может понадобится, правда, не в клиент-банке, а при многопользовательском терминальном сервере, на котором крутится что-нить клиентское, но слишком жирное для рабочих станций

[trueblacker.livejournal.com]

По-моему, ip ничем не лучше номера порта, если нужно однозначно идентифицировать клиента. Эта информация, если и нужна для некого учёта, то только в связке с прикладными данными.

[jamhed.livejournal.com]

если они открывают порт и сообщают об этом серверу внутри существующего соединения (о номере порта), ни один стандартный нат этого не понимает.

более того, это единственная схема, которая не позволит работать такому клиенту технически.

но это надо быть редкостным и упорным долбоебом, чтобы такую схему реализовать (т.к. во всех учебниках пишут про стандартный tcp-сервер). вероятность есть, но маленькая.

вероятность того, что админ и техподдержка банка долбоебы вместе и не понимают как у них банк-клиент работает существенно выше.

[volodymir-k.livejournal.com]

"Стандартный TCP-IP не работает". Вы ж белорусы, вы ж партизаны, всё по своему, трэба быць незалежным!

[theiced.livejournal.com]

при том что венты на шлюзе быть не должно ни при каких условиях.

клиент-банки это всегда мрак и ужас.

[denisioru.livejournal.com]

> при том что венты на шлюзе быть не должно ни при каких условиях.
orly? :)))))) у меня аж монитор мироточить начал жыром.
Я вот категорически обратного мнения придерживаюсь. ISA или Kerio отлично работают годами.

[denisioru.livejournal.com]

Понятия не имею. Кто-то совершенно ебанутый на создании велосипедов видимо решил написать. Собственную ОСь ему написать не дали, а вот TCP реализовать самому - ума не хватило запретить :(

[metaclass.livejournal.com]

Зависит от условий. Более-менее сложная инфраструктура и идут они лесом.
Кроме того, ставить дополнительные проги ради шлюза - это ад какой-то. Я линукс начал изучать только ради того, чтобы не воевать с клиническими заморочками винды при раздаче интернетов.

[denisioru.livejournal.com]

Вот именно, зависит от условий. Если инфраструктура на виндах - шлюз будет либо на цисках/оборудовании либо на виндах. Зоопарков городить никто не будет.

[zamotivator.livejournal.com]

Бинго!
Я уж боялся, придётся Стивенсона сюда выкладывать - фотографии либо цитаты.

[theiced.livejournal.com]

виндовз? голой жопой? в интернет? вы там в своей рашке совсем ёбнулись чоле?

[theiced.livejournal.com]

я как то попытался настроить какой нить раздатчик интернета на виндовзе. это пиздец и жабы, ну нахуй. нужно то всего было "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE". ХУЙ. сторонний говнософт завести не удалось. керио-хуерио и прочая. вентовый интернет коннекшн шаринг после долгого шаманства таки заработал, но отдаёт интернеты всем желающим. ебать его конём.

[metaclass.livejournal.com]

У меня была какая-то хуита типа того что винда после месяца работы на раздаче интернета превращалась в тыкву.
Вспомнил, блин - скайп виндовый прокси подвешивал за 5 минут работы. Ровно поэтому я начал курить линуксятину, и слава богу.