ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] iptables (правила)
@ 2006-10-17  8:49 "Дворников М.В."
  2006-10-17  8:55 ` rt
                   ` (2 more replies)
  0 siblings, 3 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-10-17  8:49 UTC (permalink / raw)
  To: Sysadmins

Есть специфическая бухгалтерская программа (клиент),
работающая через Inet с сервером.
Помимо SNAT пришлось сделать DNAT для udp, так как сервер
постоянно проверяет наличие клиента по udp-протоколу
и при отсутствии клиента в течении минуты сервер разрывает соединение.
Все работало с одним клиентом. После добавления второго
клиента, на втором клиенте можно работать только одну минуту.
Похоже не работает DNAT на два компьютера.
Что делать?

$IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
-i $INET_IFACE -p udp --dport число -j DNAT
--to-destination $LAN_CLIENT1_IP

$IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
-i $INET_IFACE -p udp --dport число -j DNAT
--to-destination $LAN_CLIENT2_IP
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables (правила)
  2006-10-17  8:49 [Sysadmins] iptables (правила) "Дворников М.В."
@ 2006-10-17  8:55 ` rt
  2006-10-17  9:01   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
  2006-10-17  8:59 ` Шенцев Алексей Владимирович
  2006-10-17  9:34 ` [Sysadmins] iptables (правила) Dmitriy L. Kruglikov
  2 siblings, 1 reply; 25+ messages in thread
From: rt @ 2006-10-17  8:55 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Дворников М.В. wrote:
> Есть специфическая бухгалтерская программа (клиент),
> работающая через Inet с сервером.
> Помимо SNAT пришлось сделать DNAT для udp, так как сервер
> постоянно проверяет наличие клиента по udp-протоколу
> и при отсутствии клиента в течении минуты сервер разрывает соединение.
> Все работало с одним клиентом. После добавления второго
> клиента, на втором клиенте можно работать только одну минуту.
> Похоже не работает DNAT на два компьютера.
> Что делать?
>
> $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
> -i $INET_IFACE -p udp --dport число -j DNAT
> --to-destination $LAN_CLIENT1_IP
>
> $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
> -i $INET_IFACE -p udp --dport число -j DNAT
> --to-destination $LAN_CLIENT2_IP
>   
Второй клиент надо вешать на другой порт.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  8:49 [Sysadmins] iptables (правила) "Дворников М.В."
  2006-10-17  8:55 ` rt
@ 2006-10-17  8:59 ` Шенцев Алексей Владимирович
  2006-10-17  9:23   ` Dmitriy L. Kruglikov
  2006-10-17  9:34 ` [Sysadmins] iptables (правила) Dmitriy L. Kruglikov
  2 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  8:59 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 12:49 Дворников М.В. написал(a):
> Есть специфическая бухгалтерская программа (клиент),
> работающая через Inet с сервером.
> Помимо SNAT пришлось сделать DNAT для udp, так как сервер
> постоянно проверяет наличие клиента по udp-протоколу
> и при отсутствии клиента в течении минуты сервер разрывает соединение.
> Все работало с одним клиентом. После добавления второго
> клиента, на втором клиенте можно работать только одну минуту.
> Похоже не работает DNAT на два компьютера.
> Что делать?
>
> $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
> -i $INET_IFACE -p udp --dport число -j DNAT
> --to-destination $LAN_CLIENT1_IP
Вот здесь ты заворачиваешь трафик с банка на 1-ого клиента
>
> $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
> -i $INET_IFACE -p udp --dport число -j DNAT
> --to-destination $LAN_CLIENT2_IP
А вот тут ты пытаешься завернуть трафик с банка, на 2-ого клиента, но трафика 
то уже нету, ты его завернул на первого клиента ранее.

Хороший русский вопрос: что делать? ... ;)
А нету возможности приобрести ещё один белый ip-адрес? 
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  8:55 ` rt
@ 2006-10-17  9:01   ` Шенцев Алексей Владимирович
  2006-10-17  9:30     ` rt
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:01 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 12:55 rt написал(a):
> > Есть специфическая бухгалтерская программа (клиент),
> > работающая через Inet с сервером.
> > Помимо SNAT пришлось сделать DNAT для udp, так как сервер
> > постоянно проверяет наличие клиента по udp-протоколу
> > и при отсутствии клиента в течении минуты сервер разрывает соединение.
> > Все работало с одним клиентом. После добавления второго
> > клиента, на втором клиенте можно работать только одну минуту.
> > Похоже не работает DNAT на два компьютера.
> > Что делать?
<skip>
> Второй клиент надо вешать на другой порт.
И как это будет выглядить?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  8:59 ` Шенцев Алексей Владимирович
@ 2006-10-17  9:23   ` Dmitriy L. Kruglikov
  2006-10-17  9:28     ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17  9:23 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> Хороший русский вопрос: что делать? ... ;)
> А нету возможности приобрести ещё один белый ip-адрес? 
А когда появится еще один клиент?
А два?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Бог никого не оставляет. У Него все дети. Нет пасынков.  И  тяжелейшие
случайности и состояния - все на  добро  нам направляется. Если бы вы
могли узреть это, не было бы ни в чем тяготы.
	-- Феофан Затворник (1815-1894), письма


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:23   ` Dmitriy L. Kruglikov
@ 2006-10-17  9:28     ` Шенцев Алексей Владимирович
  2006-10-17  9:39       ` Dmitriy L. Kruglikov
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:28 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:23 Dmitriy L. Kruglikov написал(a):
> На календаре было: Вторник, 17 Октябрь 2006 года,
> Шенцев Алексей Владимирович писал(а) в сообщении:
>
>  == Шенцев Алексей Владимирович
>
> > Хороший русский вопрос: что делать? ... ;)
> > А нету возможности приобрести ещё один белый ip-адрес?
>
> А когда появится еще один клиент?
> А два?
В этом вся проблема. Данная программа не хотит идти через прокси-сервер. А вот 
как заставить работать два и более клиента из-за файервола? Разнести по 
портам, но на серваке банка чётко определены порты, на какие конектится 
клиент. Или я что то не допонимаю?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:01   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
@ 2006-10-17  9:30     ` rt
  2006-10-17  9:36       ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: rt @ 2006-10-17  9:30 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Шенцев Алексей Владимирович wrote:
> И как это будет выглядить?
>   
Примерно так: $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP 
-i $INET_IFACE -p udp --dport другой порт -j DNAT  --to-destination 
$LAN_CLIENT1_IP:порт

Конечно тогда надо будет изменить настройку на сервере. Если это 
невозможно, то поможет только второй белый ip-адрес.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables (правила)
  2006-10-17  8:49 [Sysadmins] iptables (правила) "Дворников М.В."
  2006-10-17  8:55 ` rt
  2006-10-17  8:59 ` Шенцев Алексей Владимирович
@ 2006-10-17  9:34 ` Dmitriy L. Kruglikov
  2006-10-17  9:42   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
  2006-10-17  9:51   ` Serge Polkovnikov
  2 siblings, 2 replies; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17  9:34 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Дворников М.В. писал(а) в сообщении: 

 == Дворников М.В.

> Есть специфическая бухгалтерская программа (клиент),
> работающая через Inet с сервером.
В описанной ситуации прямее было бы посылать keepalive с клиента...
Тогда бы все работало.
Можно ли решить этот вопрос с банком? (Если программа самописная)...
Если нет, то я бы рекомендовал организовать терминальный сервер для такого приложения ...
Не самый красивый вариант, но другого я пока не вижу ...

Еще, есть мысль, что увеличение времени жизни сессии до > 1 минуты, может решить
проблему, так как при SNAT соединение будет жить, и "пинги" со стороны 
сервера будут проходить до клиента (каждого) ...
Но где и как это сделать - подсказать не могу ... Это больше на фантазию похоже...

Как по мне, то вариант с терминальным сервером будет самым надежным ...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Природа - чудовище, недостойное воспевания, зарождающее и вскармливающее для того, 
чтобы убить.
		-- Джакомо Леопарди


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:30     ` rt
@ 2006-10-17  9:36       ` Шенцев Алексей Владимирович
  2006-10-17 10:10         ` Ildar Mulyukov
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:36 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:30 rt написал(a):
> Примерно так: $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d $INET_IP
> -i $INET_IFACE -p udp --dport другой порт -j DNAT  --to-destination
> $LAN_CLIENT1_IP:порт
>
> Конечно тогда надо будет изменить настройку на сервере. 
На имеете ввиду изменить настройки на сервер банка?
> Если это невозможно, то поможет только второй белый ip-адрес.
Скорее всего админы сервака банка не пойдут на такое, я просто знаю о какой 
проге говорит Михаил Дворников. Вся зараза в том, что со стороны банка идёт 
проверка на udp соедение по определённому порту. Не было бы этого, то и 
делать тогда почти нечего. А указать, что данный протокол:порт проталкиваются 
сразу же на не несколько внутренних ip-адресов не возможно ведь так?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:28     ` Шенцев Алексей Владимирович
@ 2006-10-17  9:39       ` Dmitriy L. Kruglikov
  2006-10-17  9:49         ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17  9:39 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> но на серваке банка чётко определены порты, на какие конектится 
> клиент. Или я что то не допонимаю?

Я уже не первый раз срываюсь на непечатаемые выражения, сталкиваясь 
с системами "Клиент-Банк" ... :(

И все ты правильно понимаешь, но вот "банкиры" почему-то не понимают,
что корпоративное применение подразумевает 
как минимум три рабочих места в офисе...
Руководитель, главный бухгалтер и бухгалтер-операционист (или как его обозвать)...

Чего только стоят "программы" на InterBase, которые работают от имени sysdba
в системной базе ... :(

Но это уже за пределами темы .... :)



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Социализм пройдет, как дисгармония... Взойдет солнышко и осушит все. И будут 
говорить, как о высохшей росе: неужели он был? И барабанил в окна
град: братство, равенство, свобода?" "О, да, и еще скольких этот град
побил!" "Удивительно. Странное явление. Не верится. Где бы об истории
его прочитать?". 
		-- В.В.Розанов


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:34 ` [Sysadmins] iptables (правила) Dmitriy L. Kruglikov
@ 2006-10-17  9:42   ` Шенцев Алексей Владимирович
  2006-10-17  9:51   ` Serge Polkovnikov
  1 sibling, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:42 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:34 Dmitriy L. Kruglikov написал(a):
> В описанной ситуации прямее было бы посылать keepalive с клиента...
> Тогда бы все работало.
> Можно ли решить этот вопрос с банком? (Если программа самописная)...
Специфика конторы ("банка") позволяет им плевать на всех свысока ...
> Если нет, то я бы рекомендовал организовать терминальный сервер для такого
> приложения ... Не самый красивый вариант, но другого я пока не вижу ...
>
> Еще, есть мысль, что увеличение времени жизни сессии до > 1 минуты, может
> решить проблему, так как при SNAT соединение будет жить, и "пинги" со
> стороны сервера будут проходить до клиента (каждого) ...
А ещё лучше отказаться от такого.
> Но где и как это сделать - подсказать не могу ... Это больше на фантазию
> похоже...
>
> Как по мне, то вариант с терминальным сервером будет самым надежным ...
Согласен.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:39       ` Dmitriy L. Kruglikov
@ 2006-10-17  9:49         ` Шенцев Алексей Владимирович
  2006-10-17  9:58           ` Dmitriy L. Kruglikov
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:49 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:39 Dmitriy L. Kruglikov написал(a):
> Я уже не первый раз срываюсь на непечатаемые выражения, сталкиваясь
> с системами "Клиент-Банк" ... :(
Аналогично ... :(
>
> И все ты правильно понимаешь, но вот "банкиры" почему-то не понимают,
> что корпоративное применение подразумевает
> как минимум три рабочих места в офисе...
> Руководитель, главный бухгалтер и бухгалтер-операционист (или как его
> обозвать)...
вот-вот ...
>
> Чего только стоят "программы" на InterBase, которые работают от имени
> sysdba в системной базе ... :(
А вот за это: 
user: sysdba
pass: MASTERKEY
Надо по шиям давать разработчиков таких прилад. Сразу говорит об их не знании 
элементарных основ безопастности доступа к данным ... $-)
>
> Но это уже за пределами темы .... :)
Согласен. По флеймили и хватит. Надо попытаться Мишину проблему решить.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:34 ` [Sysadmins] iptables (правила) Dmitriy L. Kruglikov
  2006-10-17  9:42   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
@ 2006-10-17  9:51   ` Serge Polkovnikov
  2006-10-17  9:52     ` Шенцев Алексей Владимирович
  1 sibling, 1 reply; 25+ messages in thread
From: Serge Polkovnikov @ 2006-10-17  9:51 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Tuesday 17 October 2006 12:34, Dmitriy L. Kruglikov написав:
> Если нет, то я бы рекомендовал организовать терминальный сервер для такого
> приложения ... Не самый красивый вариант, но другого я пока не вижу ...

Не факт что два экземпляра этой проги смогут работать одновременно... Особенно 
учитывая, что прога открывает определенный порт на прослушку. Второму 
экземпляру он вряд ли достанется.

-- 
С уважением,
Сергей Полковников


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:51   ` Serge Polkovnikov
@ 2006-10-17  9:52     ` Шенцев Алексей Владимирович
  2006-10-17 10:09       ` Serge Polkovnikov
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17  9:52 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:51 Serge Polkovnikov написал(a):
> Tuesday 17 October 2006 12:34, Dmitriy L. Kruglikov написав:
> > Если нет, то я бы рекомендовал организовать терминальный сервер для
> > такого приложения ... Не самый красивый вариант, но другого я пока не
> > вижу ...
>
> Не факт что два экземпляра этой проги смогут работать одновременно...
> Особенно учитывая, что прога открывает определенный порт на прослушку.
> Второму экземпляру он вряд ли достанется.
Через RDP не прокатит? Что то сомневаюсь в этом, ибо каждая терминальная 
сессия - свой виртуальный экземпляр системы на конкретном железе.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:49         ` Шенцев Алексей Владимирович
@ 2006-10-17  9:58           ` Dmitriy L. Kruglikov
  2006-10-17 10:01             ` Шенцев Алексей Владимирович
  2006-10-17 10:04             ` Dmitriy L. Kruglikov
  0 siblings, 2 replies; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17  9:58 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> По флеймили и хватит. Надо попытаться Мишину проблему решить.
Если нормальных решений нет, то голосуем за терминальный сервер ...
Если на него навесить еще и 1С, какой-нибудь, то не так уж и накладно ...
И еще одна идея ...
Если банковская приблуда такая же, как у меня, и живет она на 



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Будучи подлецом, - не воображай, что это оригинально
		-- Горький


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:58           ` Dmitriy L. Kruglikov
@ 2006-10-17 10:01             ` Шенцев Алексей Владимирович
  2006-10-17 10:11               ` Dmitriy L. Kruglikov
  2006-10-17 10:04             ` Dmitriy L. Kruglikov
  1 sibling, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17 10:01 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 13:58 Dmitriy L. Kruglikov написал(a):
> Если нормальных решений нет, то голосуем за терминальный сервер ...
Скорее всего именно так будет лучший выход. У меня так народ работает с 
удалёнными серверами MS Project и Lotus Notes Domino. И всё нормально. Всё 
завсит от конторы на том конце. Только вряд ли они на такое пойдут.
> И еще одна идея ...
> Если банковская приблуда такая же, как у меня, и живет она на
Скорее всего это не то, ибо инет-домены у тебя и у Михаила разные. Хотя всё 
может быть, как говорится по образу и подобию ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:58           ` Dmitriy L. Kruglikov
  2006-10-17 10:01             ` Шенцев Алексей Владимирович
@ 2006-10-17 10:04             ` Dmitriy L. Kruglikov
  2006-10-17 10:06               ` Шенцев Алексей Владимирович
  1 sibling, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17 10:04 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Dmitriy L. Kruglikov писал(а) в сообщении: 

DLK> Если банковская приблуда такая же, как у меня, и живет она на 
DLK> 
Сорри, между кнопок застрял :)
Продолжаю ...

Если прога живет на FireBird SQL сервере, то можно поставить его на Линухе,
базу воткнуть от того жалкого поделия, которое ставят банкиры, 
и тогда с одной машины выходить в сеть за обновлениями, а с другой (других)
только смотреть в базу .... Можно еще и документы готовить на отправку ...
Подписывать же их и отправлять в банк только с одной машины ...

У меня так работает ...
К слову, банкиры не смогли открыть порты для доступа 
с клиентских рабочих мест... :)

Меня это улыбнуло до судорог лицевых мышц ...
Через 30 минут все работало ... :) На Линухе ...

Три рабочих места, Директор и Главбух видят все движения, 
а Бухгалтер связывается с банком и безобразничает по всякому...

Может быть не нужно решать проблему в лоб ?

Потому как столб перепрыгнуть сложно, а обойти - как 2 байта переслать :)



^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:04             ` Dmitriy L. Kruglikov
@ 2006-10-17 10:06               ` Шенцев Алексей Владимирович
  2006-10-17 10:27                 ` "Дворников М.В."
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17 10:06 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 14:04 Dmitriy L. Kruglikov написал(a):
> Если прога живет на FireBird SQL сервере, то можно поставить его на Линухе,
> базу воткнуть от того жалкого поделия, которое ставят банкиры,
> и тогда с одной машины выходить в сеть за обновлениями, а с другой (других)
> только смотреть в базу .... Можно еще и документы готовить на отправку ...
> Подписывать же их и отправлять в банк только с одной машины ...
>
> У меня так работает ...
> К слову, банкиры не смогли открыть порты для доступа
> с клиентских рабочих мест... :)
>
> Меня это улыбнуло до судорог лицевых мышц ...
> Через 30 минут все работало ... :) На Линухе ...
>
> Три рабочих места, Директор и Главбух видят все движения,
> а Бухгалтер связывается с банком и безобразничает по всякому...
>
> Может быть не нужно решать проблему в лоб ?
>
> Потому как столб перепрыгнуть сложно, а обойти - как 2 байта переслать :)
Хм, если нечто подобное, то скорее всего это выход. А что скажет Михаил 
Дворников?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:52     ` Шенцев Алексей Владимирович
@ 2006-10-17 10:09       ` Serge Polkovnikov
  0 siblings, 0 replies; 25+ messages in thread
From: Serge Polkovnikov @ 2006-10-17 10:09 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Tuesday 17 October 2006 12:52, Шенцев Алексей Владимирович написав:
> В сообщении от Вторник 17 октября 2006 13:51 Serge Polkovnikov написал(a):
> > Tuesday 17 October 2006 12:34, Dmitriy L. Kruglikov написав:
> > > Если нет, то я бы рекомендовал организовать терминальный сервер для
> > > такого приложения ... Не самый красивый вариант, но другого я пока не
> > > вижу ...
> >
> > Не факт что два экземпляра этой проги смогут работать одновременно...
> > Особенно учитывая, что прога открывает определенный порт на прослушку.
> > Второму экземпляру он вряд ли достанется.
>
> Через RDP не прокатит? Что то сомневаюсь в этом, ибо каждая терминальная
> сессия - свой виртуальный экземпляр системы на конкретном железе.

Терминальная сессия - это всего лишь обычная сессия "только по сети" в 
пределах одной системы. Т.е. ресурсы у всех сессий общие. ИМХО.
(По аналогии с Х-сессией)

-- 
С уважением,
Сергей Полковников


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17  9:36       ` Шенцев Алексей Владимирович
@ 2006-10-17 10:10         ` Ildar Mulyukov
  0 siblings, 0 replies; 25+ messages in thread
From: Ildar Mulyukov @ 2006-10-17 10:10 UTC (permalink / raw)
  To: sysadmins

On 17.10.2006 15:36:29, Шенцев Алексей Владимирович wrote:
> В сообщении от Вторник 17 октября 2006 13:30 rt написал(a):
> > Примерно так: $IPTABLES -t nat -A PREROUTING -s $INET_SERVER -d
> $INET_IP
> > -i $INET_IFACE -p udp --dport другой порт -j DNAT  --to-destination
> > $LAN_CLIENT1_IP:порт
> >
> > Конечно тогда надо будет изменить настройку на сервере.
> На имеете ввиду изменить настройки на сервер банка?
> > Если это невозможно, то поможет только второй белый ip-адрес.
>  Скорее всего админы сервака банка не пойдут на такое, я просто знаю  
> о  какой  проге говорит Михаил Дворников. Вся зараза в том, что со  
> стороны  банка  идёт  проверка на udp соедение по определённому  
> порту. Не было бы этого, то  и  делать тогда почти нечего. А указать,  
> что данный протокол:порт  проталкиваются  сразу же на не несколько  
> внутренних ip-адресов не возможно ведь так?

Такое "возможно". Пример - модули для iptables вида: ip_conntrack_* но  
только в том случае, если протокол достаточно открыт. Если нет - можете  
про НАТ забыть. Если да, пишите свой ip_conntrack_ ;)

Вывод: если задача не решается техническими методами, надо её решать  
административными методами.

Ильдар.
--
Ildar  Mulyukov,
   free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:01             ` Шенцев Алексей Владимирович
@ 2006-10-17 10:11               ` Dmitriy L. Kruglikov
  2006-10-17 10:18                 ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17 10:11 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Шенцев Алексей Владимирович писал(а) в сообщении: 

 == Шенцев Алексей Владимирович

> Всё 
> завсит от конторы на том конце. Только вряд ли они на такое пойдут.
А "им" никуда идти и не нужно ....
В сети клиента устанавливается терминальный сервер, и только она выходит в Инет и работает с
банком ... 
Имеем один адрес, всё решается приведенными правилами iptables ...

А на стороне банка даже и не подозревают, что с ними работают два клиента ...

Так?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Даже обезьяну можно научить работать на компьютере!
Проверено на личном опыте.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:11               ` Dmitriy L. Kruglikov
@ 2006-10-17 10:18                 ` Шенцев Алексей Владимирович
  0 siblings, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17 10:18 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 14:11 Dmitriy L. Kruglikov написал(a):
> А "им" никуда идти и не нужно ....
> В сети клиента устанавливается терминальный сервер, и только она выходит в
> Инет и работает с банком ...
> Имеем один адрес, всё решается приведенными правилами iptables ...
>
> А на стороне банка даже и не подозревают, что с ними работают два клиента
> ...
>
> Так?
А что идея ... :) Скорее всего это будет выход: терминальный сервер с 
клиентской прогой внутри ЛВС, все кому положено из ЛВС конектятся к нему, а 
он лезет на сервак банка ... :)
>
> -- Мысль --
> Даже обезьяну можно научить работать на компьютере!
> Проверено на личном опыте.
А эта обезьянка красива была? С ней хоть за жизь поговорить можно было, 
Дим? ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:06               ` Шенцев Алексей Владимирович
@ 2006-10-17 10:27                 ` "Дворников М.В."
  2006-10-17 10:36                   ` Dmitriy L. Kruglikov
  2006-10-17 10:36                   ` Шенцев Алексей Владимирович
  0 siblings, 2 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-10-17 10:27 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Шенцев Алексей Владимирович пишет:
> В сообщении от Вторник 17 октября 2006 14:04 Dmitriy L. Kruglikov написал(a):
>> Если прога живет на FireBird SQL сервере, то можно поставить его на Линухе,
>> базу воткнуть от того жалкого поделия, которое ставят банкиры,
>> и тогда с одной машины выходить в сеть за обновлениями, а с другой (других)
>> только смотреть в базу .... Можно еще и документы готовить на отправку ...
>> Подписывать же их и отправлять в банк только с одной машины ...
>>
>> У меня так работает ...
>> К слову, банкиры не смогли открыть порты для доступа
>> с клиентских рабочих мест... :)
>>
>> Меня это улыбнуло до судорог лицевых мышц ...
>> Через 30 минут все работало ... :) На Линухе ...
>>
>> Три рабочих места, Директор и Главбух видят все движения,
>> а Бухгалтер связывается с банком и безобразничает по всякому...
>>
>> Может быть не нужно решать проблему в лоб ?
>>
>> Потому как столб перепрыгнуть сложно, а обойти - как 2 байта переслать :)
> Хм, если нечто подобное, то скорее всего это выход. А что скажет Михаил 
> Дворников?

Никогда не пытаюсь залезать в бухгалтерию, потому как
себе дороже выйдет и обвинят потом во всех грехах.

Авторы этого изделия живут тут http://www.infosec.ru/
Сервер установлен в Федеральном казначействе области.
Клиент использует шифрование при работе.

Админ казначейства сказал, чтобы я использовал модем
или выставил Win-клиента в inet :)
Настройки сервера менять никто не будет.
Понял, что нельзя сделать через iptables,
значит буду просить ip или модем поставлю.
Всем спасибо!
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:27                 ` "Дворников М.В."
@ 2006-10-17 10:36                   ` Dmitriy L. Kruglikov
  2006-10-17 10:36                   ` Шенцев Алексей Владимирович
  1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-10-17 10:36 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Вторник, 17 Октябрь 2006 года,
Дворников М.В. писал(а) в сообщении: 

 == Дворников М.В.

> Авторы этого изделия живут тут http://www.infosec.ru/
> Сервер установлен в Федеральном казначействе области.
> Клиент использует шифрование при работе.
Я так понимаю, что клиент не использует ни какой БД и работает в режиме "on-line" ...

> Админ казначейства сказал, чтобы я использовал модем
> или выставил Win-клиента в inet :)
Ну вот и будет один клиент ... И он будет терминальным сервером, 
на котором все, кому положено, будут запускать клиентскую программу...
Несколько экземпляров на одной машине, которая будет нормально пробрасываться в Инет
С трансляцией адресов...
> Понял, что нельзя сделать через iptables,
> значит буду просить ip или модем поставлю.
При этом ни добавочного ip, ни модема Вам не нужно ...
Ходить же через модем крайне не рекомендую, так как чаще всего, банкиры поднимают VPN, 
в котором пробрасывают к вам свою сетку, в которой рядом с вами работают другие клиенты,
которые, в свою очередь, частенько бывают заражены всякими RPC вирусами ...
Я уже ловил таким образом :) ...

> Всем спасибо!
Да не за что ... :)


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Не вываливайте дурака


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables ( правила )
  2006-10-17 10:27                 ` "Дворников М.В."
  2006-10-17 10:36                   ` Dmitriy L. Kruglikov
@ 2006-10-17 10:36                   ` Шенцев Алексей Владимирович
  1 sibling, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-17 10:36 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Вторник 17 октября 2006 14:27 Дворников М.В. написал(a):
> Никогда не пытаюсь залезать в бухгалтерию, потому как
> себе дороже выйдет и обвинят потом во всех грехах.
А приходится, ток не в бухгалтерию, а в настройку среды для бухгалтерских 
програм.
>
> Авторы этого изделия живут тут http://www.infosec.ru/
Интересно посмотреть будет.
> Клиент использует шифрование при работе.
Обычная практика.
>
> Админ казначейства сказал, чтобы я использовал модем
Ага, умнее ни чего он предложить не смог ... :)
> или выставил Win-клиента в inet :)
Как и говорил надо брвть ещё один белый ip-адрес.
> Настройки сервера менять никто не будет.
Естественно.
> Понял, что нельзя сделать через iptables,
> значит буду просить ip или модем поставлю.
С модемом и не связывайся, лишний головняк. А вот Дмитрий Кругликов на самом 
деле предложил хороший выход:
Поднимаешь в сети сервер, например на w2k, поднимаешь на нём terminal-server, 
устанавливаешь и настраиваешь на этой тачке рабочее место для связи с 
казначейством для бухгалтерии, а клиентов, т.е. рабочии места бухгалтеров, 
заводишь в режиме терминальной сессии. Одновременно работают несколько 
бухгалтеров, а связь с казначейством идёт с одного компа. И iptables сильно 
перестраивать не надо.
> Всем спасибо!
Да не за что. Удачи.

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

end of thread, other threads:[~2006-10-17 10:36 UTC | newest]

Thread overview: 25+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-10-17  8:49 [Sysadmins] iptables (правила) "Дворников М.В."
2006-10-17  8:55 ` rt
2006-10-17  9:01   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
2006-10-17  9:30     ` rt
2006-10-17  9:36       ` Шенцев Алексей Владимирович
2006-10-17 10:10         ` Ildar Mulyukov
2006-10-17  8:59 ` Шенцев Алексей Владимирович
2006-10-17  9:23   ` Dmitriy L. Kruglikov
2006-10-17  9:28     ` Шенцев Алексей Владимирович
2006-10-17  9:39       ` Dmitriy L. Kruglikov
2006-10-17  9:49         ` Шенцев Алексей Владимирович
2006-10-17  9:58           ` Dmitriy L. Kruglikov
2006-10-17 10:01             ` Шенцев Алексей Владимирович
2006-10-17 10:11               ` Dmitriy L. Kruglikov
2006-10-17 10:18                 ` Шенцев Алексей Владимирович
2006-10-17 10:04             ` Dmitriy L. Kruglikov
2006-10-17 10:06               ` Шенцев Алексей Владимирович
2006-10-17 10:27                 ` "Дворников М.В."
2006-10-17 10:36                   ` Dmitriy L. Kruglikov
2006-10-17 10:36                   ` Шенцев Алексей Владимирович
2006-10-17  9:34 ` [Sysadmins] iptables (правила) Dmitriy L. Kruglikov
2006-10-17  9:42   ` [Sysadmins] iptables ( правила ) Шенцев Алексей Владимирович
2006-10-17  9:51   ` Serge Polkovnikov
2006-10-17  9:52     ` Шенцев Алексей Владимирович
2006-10-17 10:09       ` Serge Polkovnikov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git