Ад программизма и трэш админства

[metaclass]

Винда на интернет-шлюзе:

Венда в этом разе - ужасный вариант, но по причине того, что помимо шлюза на этом мегаведре еще стоят чудесные клиент-банки, которые ТУПО НЕ РАБОТАЮТ ЧЕРЕЗ НАТ, и об этом ТП говорит прямым текстом, то тут можно только обнять все это хозяйство и плакать

софтина не работает если на одном из интерфейсов стоит не инетовский адрес, я не знаю, что они там натворили, но работает только так

Если мы мне такое попалось - я бы сломал голову, но дрянь эту бы разобрал по косточкам и по возможности придумал костыль для запуска через НАТ, вплоть до VPN в интернеты.
Потому что подход "абы работало", реализуемый через извращения меня бесит. В данном случае извращением являются винда на шлюзе и всякие кульные прожки типа керио или юзергейта. И костыли с извращениями нужно локализовывать, а не ставить их в центре всего.

Comments

[denisioru.livejournal.com]

Причем здесь винда на шлюзе? Если криворукие недопрограммеры сделали клиент-банк, так что он не работает через NAT - причем здесь NAT и причем здесь винда? Я, например, встречал клиент-банк, который САМ формировал TCP-пакеты. И тоже тупо не работал, если маска сети была не 255.255.255.0, а какая-то другая. Про статические маршруты он тоже не знал.

[w00dy.livejournal.com]

> который САМ формировал TCP-пакеты

o_O

Он что, raw socket пользовал?

[denisioru.livejournal.com]

Щас уже не помню, но вроде он напрямую к TDI или ещё куда ниже уровню ходил. Ебанизм карочи.

[sergiej.livejournal.com]

Разобрать по косточкам это круто, в данном случае может быть и применимо, но есть много ситуаций когда я вот точно знаю что можно хакнуть и заставить работать как мна надо, но софт относится к категории "неприкасаемых", по лицензионным, саппортным или политическим соображениям.

[jamhed.livejournal.com]

единственный вариант когда софт не работает через нат -- это когда унутре соединения клиент серверу пытается сообщить свой ip-адрес, который потом сервером используется для каких-то целей.

скорее всего админ чайник, и техподдержка банка такая-же.

[nicka-startcev.livejournal.com]

Клиент-банки пишет какая-то школота, потому что все деньги попилены!

[metaclass.livejournal.com]

Тут написали еще один вариант - когда TCP/IP реализуют руками (потому что раньше работали под дос и всегда так делали) :)

[w00dy.livejournal.com]

студент писал курсовую работу?

[trueblacker.livejournal.com]

не для "каких-то целей", а вполне понятно, что для соединения с клиентом же. Просто в базу писать или идентифицировать проблем нет.

[trueblacker.livejournal.com]

а что, через VPN - это не "абы работало" ?

[jamhed.livejournal.com]

в udp я бы еще поверил, и то с трудом. самописная реализация tcp - бред.

[metaclass.livejournal.com]

Нет. В этом случае не нужно будет на одной машине держать шлюз в интернет и клиент-банк. Можно шлюз будет сделать на кошерном линуксе или вообще специализированной железяке, клиент-банк будет торчать всеми физиологическими отверстиям в интернеты в своей песочнице, итд.

[jamhed.livejournal.com]

идентифицировать проблема есть. 1500 клиентов с адресом 192.168.0.2

[metaclass.livejournal.com]

Так вот же: http://metaclass.livejournal.com/615042.html?thread=9410946#t9410946

[jamhed.livejournal.com]

> который САМ формировал TCP-пакеты.

исходя из конструкции фразы это есть то что я написал -- бред.

[vp.livejournal.com]

Интересно, а какой был МОТИВ этого всего?

[trueblacker.livejournal.com]

добавляем порт входящего соединения и всего делов

[trueblacker.livejournal.com]

Но при этом нужно как-то убедить админов сервера этого клиент-банка настроить роутинг в этот ваш кошерный VPN.
Если VPN есть на серваке искаропки, дело другое, да.

[jamhed.livejournal.com]

который для 1500 клиентов с ипом 192.168.0.2 совпадет для половины с вероятностью 90%.

[trueblacker.livejournal.com]

эммм... с чего бы?

[jamhed.livejournal.com]

ну, с того бы. стоит винда, делается исходящее tcp-содеинение. src-порт будет выбран системой автоматически. выбирается он виндой не случайно, а подряд, снизу вверх.

пришла бухгалтер, включила комп, запустила банк клиент. и так 1500 раз. откуда следует, что совпадет.

[d4s.livejournal.com]

а как тут поможет знание ip адреса?
hint: большинство на динамических адресах сидят.

Тут скорее тупейшая попытка "защиты". Причем тем, кто знает как - оно не помешает, а для остальных - геморрой.

[trueblacker.livejournal.com]

я про входящее писал
локальный порт, который назначен сервером, принимающим соединение

[d4s.livejournal.com]

мне очень понравился подход в MMБанке - отдельный логин/пароль на vpn. обмен сообщениями посредством e-mail и еще одного логина/пароля. доступ к мэйл-серверу только через vpn.
в результате у буха была только одна половина доступа, у админа - вторая. так что "несанкционированно" хер подключишься.

[jamhed.livejournal.com]

начали с того, что клиент-сервер по тцп, клиент за натом, и за каким-то лядом клиент сообщает серверу свой ip (и еще свой локальный порт). в этом случае клиент сообщит серверу свой локальный адрес (192.168.0.0/24)+ свой локальный порт, который ему винда выдаст (вида 1400+n)

я говорю о том, что эта пара (локальный адрес, локальный порт) для целей авторизации не подходит, по причине того что будут совпадения для большого числа клиентов.