Ад программизма и трэш админства

[metaclass]

Винда на интернет-шлюзе:

Венда в этом разе - ужасный вариант, но по причине того, что помимо шлюза на этом мегаведре еще стоят чудесные клиент-банки, которые ТУПО НЕ РАБОТАЮТ ЧЕРЕЗ НАТ, и об этом ТП говорит прямым текстом, то тут можно только обнять все это хозяйство и плакать

софтина не работает если на одном из интерфейсов стоит не инетовский адрес, я не знаю, что они там натворили, но работает только так

Если мы мне такое попалось - я бы сломал голову, но дрянь эту бы разобрал по косточкам и по возможности придумал костыль для запуска через НАТ, вплоть до VPN в интернеты.
Потому что подход "абы работало", реализуемый через извращения меня бесит. В данном случае извращением являются винда на шлюзе и всякие кульные прожки типа керио или юзергейта. И костыли с извращениями нужно локализовывать, а не ставить их в центре всего.

Comments

[jamhed.livejournal.com]

единственный вариант когда софт не работает через нат -- это когда унутре соединения клиент серверу пытается сообщить свой ip-адрес, который потом сервером используется для каких-то целей.

скорее всего админ чайник, и техподдержка банка такая-же.

[metaclass.livejournal.com]

Тут написали еще один вариант - когда TCP/IP реализуют руками (потому что раньше работали под дос и всегда так делали) :)

[jamhed.livejournal.com]

в udp я бы еще поверил, и то с трудом. самописная реализация tcp - бред.

[metaclass.livejournal.com]

Так вот же: http://metaclass.livejournal.com/615042.html?thread=9410946#t9410946

[jamhed.livejournal.com]

> который САМ формировал TCP-пакеты.

исходя из конструкции фразы это есть то что я написал -- бред.

[trueblacker.livejournal.com]

не для "каких-то целей", а вполне понятно, что для соединения с клиентом же. Просто в базу писать или идентифицировать проблем нет.

[jamhed.livejournal.com]

идентифицировать проблема есть. 1500 клиентов с адресом 192.168.0.2

[trueblacker.livejournal.com]

добавляем порт входящего соединения и всего делов

[jamhed.livejournal.com]

который для 1500 клиентов с ипом 192.168.0.2 совпадет для половины с вероятностью 90%.

[trueblacker.livejournal.com]

эммм... с чего бы?

[jamhed.livejournal.com]

ну, с того бы. стоит винда, делается исходящее tcp-содеинение. src-порт будет выбран системой автоматически. выбирается он виндой не случайно, а подряд, снизу вверх.

пришла бухгалтер, включила комп, запустила банк клиент. и так 1500 раз. откуда следует, что совпадет.

[d4s.livejournal.com]

а как тут поможет знание ip адреса?
hint: большинство на динамических адресах сидят.

Тут скорее тупейшая попытка "защиты". Причем тем, кто знает как - оно не помешает, а для остальных - геморрой.

[jamhed.livejournal.com]

начали с того, что клиент-сервер по тцп, клиент за натом, и за каким-то лядом клиент сообщает серверу свой ip (и еще свой локальный порт). в этом случае клиент сообщит серверу свой локальный адрес (192.168.0.0/24)+ свой локальный порт, который ему винда выдаст (вида 1400+n)

я говорю о том, что эта пара (локальный адрес, локальный порт) для целей авторизации не подходит, по причине того что будут совпадения для большого числа клиентов.

[d4s.livejournal.com]

ой! а я все наоборот понял =] бывает

[trueblacker.livejournal.com]

я про входящее писал
локальный порт, который назначен сервером, принимающим соединение

[jamhed.livejournal.com]

сервер слушает единственный tcp-порт, очевидно. сервера слушающие отдельный порт на каждого клиента это жуть, но может быть. тока этот случай никакого отношения к работе из под nat не имеет.

[trueblacker.livejournal.com]

подучите матчасть

[d4s.livejournal.com]

э-э-э... чуть подробнее плз. где ошибка?

[jamhed.livejournal.com]

в голове у него.

[trueblacker.livejournal.com]

слушать один порт - это одно.
После того, как происходит акцептирование соединения, ему назначается "внутренний" порт, однозначно идентифицирующий именно это конкретное соединение среди всех прочих, поступивших на слушаемый порт.

[d4s.livejournal.com]

э-э-э... о-о-о... а-а-а! у вас проблема с терминологией. вы порты с сокетами попутали.

[trueblacker.livejournal.com]

ничего я не попутал

[jamhed.livejournal.com]

tcp 0 0 127.0.0.1:5432 127.0.0.1:48464 ESTABLISHED 12737/postgres: nco
tcp 0 0 127.0.0.1:5432 127.0.0.1:48448 ESTABLISHED 12721/postgres: nco
tcp 0 0 127.0.0.1:5432 127.0.0.1:48450 ESTABLISHED 12723/postgres: nco
tcp 0 0 127.0.0.1:5432 127.0.0.1:48446 ESTABLISHED 12719/postgres: nco
tcp 0 0 127.0.0.1:5432 127.0.0.1:48462 ESTABLISHED 12735/postgres: nco

угу, так и есть.

[metaclass.livejournal.com]

На сервере ему назначается сокет.

А номер порта - это номер порта с которого соединение исходит, на клиенте. Когда сервер будет отвечать конкретному клиенту - пакеты будут идти на эту пару "адрес:порт".

[tzirechnoy.livejournal.com]

Например, для шыфрования соединения. Да-да, оригинально благословенный всемыи WITFами IPSEC не работал через NAT.