Re: tavfelugyelet tobb vonalon keresztül
On Wed, 2 Jul 2008, Lajber Zoltan wrote: > > Vegyes felvágott, linux és Win is és még néhány managelhető eszköz... > > Az ugy eleg csunya. Ezeket valahogy be kellene terelni egy router/tuzfal Tehát az egész egy közös tűzfal/router mögött lenne, aminek 2 kijárata lenne. Ez így jól hangzik, csak sajnos nem kivitelezhető :-( > moge, es akkor tiszta ugy lenne. Gondolom nem tudod osszekotni az uzem es Sajnos nem. > Meg az lehet a megoldas, ha az accesspontjaid tudnak tobb ssid-t > es 802.1q vlan-t kezelni. Sajnos nem tudják... Úgy tűnik az előző levélben vázolt szerint sikerült megoldani, ma kezdjük a teszteket Köszönöm a segítséget! -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
On Wed, 2 Jul 2008, Szabo Istvan wrote: > > Nem tudom milyen a kliensgep, de ha linux, akkor egyetlen routing > > Vegyes felvágott, linux és Win is és még néhány managelhető eszköz... Az ugy eleg csunya. Ezeket valahogy be kellene terelni egy router/tuzfal moge, es akkor tiszta ugy lenne. Gondolom nem tudod osszekotni az uzem es irodai tuzfalat vezetekkel. Mert akkor a wifi-t be lehetne tenni az irodai tuzfal moge, es szep, vilagos minden. Meg az lehet a megoldas, ha az accesspontjaid tudnak tobb ssid-t es 802.1q vlan-t kezelni. Egyik ssid a tuzfalak kozotti routing, a masikon pedig a kliensek lognak, az irodai tuzfal meg routeol nekik. Udv, -=Lajbi=- LAJBER ZoltanSzent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
On Tue, 1 Jul 2008, Lajber Zoltan wrote: > > Ehhez a dinamikus routing protokollhoz tudsz esetleg jó leírást? > > Nem kell az neked. (http://tinyurl.com/s3dr8). Első ránézésre meggyőztél... ;-) > Nem tudom milyen a kliensgep, de ha linux, akkor egyetlen routing Vegyes felvágott, linux és Win is és még néhány managelhető eszköz... A megoldás az lett, hogy az "alap" felállás, miszerint az irodai tűzfal minden cliensnek a gateway, az irodai tűzfalon DNAT-al lehet managelni megmaradt. Az üzemi oldalon pedig a DNAT "mellé" a tűzfal belső lábára tettem egy masquerade-t, így a cliens nem a default gateway felé küldi vissza a csomagot. Köszönöm a segítségeteket, türelmeteket. -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
On Tue, 1 Jul 2008, Szabo Istvan wrote: > > On Tue, 1 Jul 2008, Zs wrote: > > > A "szép" megoldás az lenne, ha egy router lenne - vagy dinamikus routing > > protokoll, de az ebben az esetben ágyúval verébre. > > Ehhez a dinamikus routing protokollhoz tudsz esetleg jó leírást? Nem kell az neked. (http://tinyurl.com/s3dr8). Nem tudom milyen a kliensgep, de ha linux, akkor egyetlen routing bejegyzes kell neki. Illetve ugye ketto: -irodai lan cimehez a kovetkezo ugras az irodai tuzfal kulso cime -minden mas (default route) az uzem tuzfal Masik megoldas az, ha irodai tuzfal dnat-ol maga moge, akkor annak a kulso cime meg kozvetlenul elerheto. De ekkor egy porton egy gepet erhetsz csak el az irodaban. Udv, -=Lajbi=- LAJBER ZoltanSzent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
On Tue, 1 Jul 2008, Zs wrote: > A "szép" megoldás az lenne, ha egy router lenne - vagy dinamikus routing > protokoll, de az ebben az esetben ágyúval verébre. Ehhez a dinamikus routing protokollhoz tudsz esetleg jó leírást? > Ha marad a jelen felállás, akkor a SNAT + MASQ kombó a nyerő, azaz ahogy > írod, nem elég a cél IP-t lejavítani és a csomagot tovább küldeni, de > > Szóval jó irányba keresgélsz, ha már megy a SNAT, akkor csak a MASQ-ot > kell sinre tenni. ;-) Pontosabban DNAT és MASQ a belső lábra - a kintről jövőt NAT-olom. Az első tesztek alapján megy, most jön a finomítás. -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
Hi! Szabo Istvan írta: >>---|Irodai tűzfal| -- :(WIFI): -- |Uzem tűzfal| >>| >> |Uzemi cliens| >> >> Meg lehet azt oldani, hogy az irodán keresztül is elérjem az üzemi >> clienst? Merre keresgéljek, mit nézzek meg? > > Az SNAT-ot nézegetem, de nem igazán boldogulok vele :-( > Az "elgondolásom" szerint egy "visszafelé (kintről) NAT" kellene portra > lebontva (a belső gép azt lássa, mintha a tűzfal "beszélgetne" a > cliensel). > > Meg lehet ezt oldani, vagy rossz irányba keresgélek? > > Közben megnéztem és valóban az a baj, hogy az üzem felöl bemenve a cliens > gateway - iroda - felé akarna visszamenni a csomag. > A "szép" megoldás az lenne, ha egy router lenne - vagy dinamikus routing protokoll, de az ebben az esetben ágyúval verébre. Ha marad a jelen felállás, akkor a SNAT + MASQ kombó a nyerő, azaz ahogy írod, nem elég a cél IP-t lejavítani és a csomagot tovább küldeni, de a forrás IP-t is cserélni kell, hogy a válasz a tűzfalra essen be és az tolja vissza a csomagot a kérő gépnek. Ekkor a csomag onnan érkezik, ahonnan várja a masina, így működni fog a dolog. Szóval jó irányba keresgélsz, ha már megy a SNAT, akkor csak a MASQ-ot kell sinre tenni. ;-) Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: tavfelugyelet tobb vonalon keresztül
>---|Irodai tűzfal| -- :(WIFI): -- |Uzem tűzfal| >| > |Uzemi cliens| > > Meg lehet azt oldani, hogy az irodán keresztül is elérjem az üzemi > clienst? Merre keresgéljek, mit nézzek meg? Az SNAT-ot nézegetem, de nem igazán boldogulok vele :-( Az "elgondolásom" szerint egy "visszafelé (kintről) NAT" kellene portra lebontva (a belső gép azt lássa, mintha a tűzfal "beszélgetne" a cliensel). Meg lehet ezt oldani, vagy rossz irányba keresgélek? Közben megnéztem és valóban az a baj, hogy az üzem felöl bemenve a cliens gateway - iroda - felé akarna visszamenni a csomag. -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
tavfelugyelet tobb vonalon keresztül
Hi! Lészen a következő felállás: ---|Irodai tűzfal| -- :(WIFI): -- |Uzem tűzfal| | |Uzemi cliens| Az "üzemi cliensnek" az "üzemi tűzfal" az átjárója. Szeretném az "Irodai tűzfal -> WIFI"-n keresztül is elérni VNC-n az üzemi clienst. A következő DNAT sajnos csak az üzemi tűzfalon jó, az irodain nem (gyanítom a routolás miatt): iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 10026 -j DNAT --to 192.168.1.26:5900 Meg lehet azt oldani, hogy az irodán keresztül is elérjem az üzemi clienst? Merre keresgéljek, mit nézzek meg? Előre is köszönöm a segítséget! -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_[EMAIL PROTECTED] \ [EMAIL PROTECTED] _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux