Ад программизма и трэш админства

[metaclass]

Винда на интернет-шлюзе:

Венда в этом разе - ужасный вариант, но по причине того, что помимо шлюза на этом мегаведре еще стоят чудесные клиент-банки, которые ТУПО НЕ РАБОТАЮТ ЧЕРЕЗ НАТ, и об этом ТП говорит прямым текстом, то тут можно только обнять все это хозяйство и плакать

софтина не работает если на одном из интерфейсов стоит не инетовский адрес, я не знаю, что они там натворили, но работает только так

Если мы мне такое попалось - я бы сломал голову, но дрянь эту бы разобрал по косточкам и по возможности придумал костыль для запуска через НАТ, вплоть до VPN в интернеты.
Потому что подход "абы работало", реализуемый через извращения меня бесит. В данном случае извращением являются винда на шлюзе и всякие кульные прожки типа керио или юзергейта. И костыли с извращениями нужно локализовывать, а не ставить их в центре всего.

Comments

[jamhed.livejournal.com]

дятел, и неблагодарный

[trueblacker.livejournal.com]

благодарю за вашу настойчивость
похоже, я был неправ

[metaclass.livejournal.com]

Главное чтобы теперь не пришли благодарные читатели и не начали в эту ветку переубеждать дальше :)

[trueblacker.livejournal.com]

главное что истина торжествует :-)
в гумантираных спорах такие ветки можно продолжать много дольше

[jamhed.livejournal.com]

:) редкий случай для жж.

[trueblacker.livejournal.com]

кстати, в пылу спора забыли про основной вопрос. Все эти нюансы с наличием или отсутствием уникального серверного порта ничем не отличаются с т.з. идентификации и работают только при живом соединении.
Я предполагал, что спор пойдёт именно по этой ветке, после чего мы плавно перейдём к недостаткам собсно протокола клиент-банка, который сильно полагается на нижний уровень там, где не должен

[metaclass.livejournal.com]

Вот мне как раз и интересно, что же они такое сделали, что нужен прямой IP адрес - неужели открывают порт и ждут соединение от сервера, да таким образом, что ни один стандартный НАТ этого не понимает.

[trueblacker.livejournal.com]

это единственное объяснение, пожалуй.
И я даже знаю кое-какие варианты ответа, почему такое может понадобится, правда, не в клиент-банке, а при многопользовательском терминальном сервере, на котором крутится что-нить клиентское, но слишком жирное для рабочих станций

[jamhed.livejournal.com]

если они открывают порт и сообщают об этом серверу внутри существующего соединения (о номере порта), ни один стандартный нат этого не понимает.

более того, это единственная схема, которая не позволит работать такому клиенту технически.

но это надо быть редкостным и упорным долбоебом, чтобы такую схему реализовать (т.к. во всех учебниках пишут про стандартный tcp-сервер). вероятность есть, но маленькая.

вероятность того, что админ и техподдержка банка долбоебы вместе и не понимают как у них банк-клиент работает существенно выше.

[tzirechnoy.livejournal.com]

>но это надо быть редкостным и упорным долбоебом, чтобы такую схему реализовать

Какое меткое определения для IETF!

[jamhed.livejournal.com]

речь шла о том, что клиент соединяется с сервером из под nat и для каких то целей передает серверу свой локальный ip и порт. локальный ип и порт при большом числа клиентов будут совпадающими для нескольких по причинам которые я уже изложил. поэтому для аутентификации эта информация бесполезна, т.к. не позволяет клиента идентифицировать однозначно.

я вообще затрудняюсь представить ситуацию, когда бы эта информация (локальный ип-порт) имела бы смысл в контексте рассматриваемой задачи (клиент-банк), которой, по сути, тождественно равняется почтовой системе с некоторыми шаблонами. которую каждый неуважающий себя банк трижды изобрел с нуля (под dos, под windows, под internet).

[trueblacker.livejournal.com]

По-моему, ip ничем не лучше номера порта, если нужно однозначно идентифицировать клиента. Эта информация, если и нужна для некого учёта, то только в связке с прикладными данными.