|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Milenn |
Дата: 10/14/2002 |
vaprosa malko ne e za tuka, stoto problema mi e vav routera,
Cisco 678
ta imam 3 mashinki s Linux, i trebva da se accesvat prez
internet . trebva mi ssh. imam ADSL linia i dns2go.
za purvata nema problem , prava si NAT-a na routera:
set nat entry add 192.168.0.10 22 tcp
i tva e , dobava mi v tablitsata za NAT
192.168.0.10 22 --------- * 22 tcp i rabotata pee
ostava samo na drugite mashinki da pusna ssh na razlichni
portove ama ne iskam taka (stoto ima i edno drugo prilozenie
deto posle ste forwordvam a to ne si smena porta)
znachi trebva da forwarda ot 192.168.0.11 22 na * 20022
tcp.
taka pishe v helpa,da, ama kato napisha taka komandata
efekta e mnogo ralichen ;-( :
poiaviava se v NAT tablitsata 192.168.0.11 22 ---
192.168.0.11 20022 tcp i ne vurshi rabota
probvah i tova:
set nat entry add 192.168.0.11 22 192.168.0.1 20022 tcp
kadeto 192.168.0.1 e vutreshnia adres na rutera, ne
bachka
taka bachka, no ne moze da se polzva, stoto trebva da se
pravi vseki pat , kogato ADSL-a si smeni IP-to , a to e
chesto:
set nat entry add 192.168.0.11 22 68.89.2.34 20022 tcp
tva bachka super... no ;-( ne vurshi rabota
Dano ima tuka CCNP ili pone nekoj CCNA ;-) da helpne
|
Отговор #1 |
От: stas |
Дата: 10/15/2002 |
Do kolkoto razbiram iskash ot van da moje da se ssh-vash na
vatreshnite mashinki. Ako pravilno sam te razbral, eto
niakolko predlojenia:
1. Shtom si uspial da pusnesh NAT kam ssh na edin kopmuter,
ssh-vash se kam nego i posle ot nego se ssh-vash kam
vatreshnite IP-ta na drugite PC-ta :))
2. Tova e dolu gore kakto ti si go napravil samo che
portovete sa malko naobratno. Kazvash na routera da ti
forword-va 3 razlichni porta ot vanshnoto IP na 22 port na
3-te razlichni IP-ta za vatreshnite mashinki - ne e nujno
vanshnia port da e 22, shtot ti na ssh klienta vinagi moje
da mu kajesh da polzva drug port vmesto 22. Primerno Vanshno
IP:vanshen port 10022 NAT -> Vatreshno IP1:22 , 20022 NAT ->
IP2:22 i t.n. Taka na vseki ot tezi portove na vanshnoto IP,
shte otgovaria ssh server na niakoi ot 3-te vatreshni
mashinki.
3. Nachin, podoben na 1-vi samo che po-avtomatiziran: pak
forwordvash 3 razlichni porta ot vanshnoto IP, no tozi pat
na 3 rzlichni porta na edin i sasht Linux+SSH Server. Na
tozi server startirash 3 razlichni sshd s remote forwording
ot vseki port koito pristiga ot rutera, kum port (pak ne e
zadaljitelno da e 22) na drugite mashini. Tozi nachin e
udoben ako drugite mashinki niamat sobstven SSH Server a
iskash da startirash niakavo unsecure prilojenie po secure
kanal (primerno Samba ili VNC kakto e v linkovete po-dolu).
Vij ei tezi obiasnenia. Te ne sa savsem za tvoia sluchai, no
shte ti pomognat da si predstavish vizulano kak se forwrdva
port chrez ssh:
http://www.uk.research.att.com/vnc/sshwin.html
http://www.uk.research.att.com/vnc/sshvnc.html
P.P. Kakto ti si go napravil pochti e stanalo, samo shte
triabva da startirash na 192.168.0.11 edin sshd s local
forwording ot 22 na 10022 (t.e. na 10022 da ti slusha sshd)i
shte stane.
Uspeh s experimentite.
|
Отговор #2 |
От: Vasil |
Дата: 10/15/2002 |
Abe tova komanda li e "set nat entry add ..."?
Az moga da ti kaja kak da si napravish forward sus cisco
router, no sus IOS 12.2
Stava s komanda "ip nat inside destination".
Pravi se edin pool i edna access-lista i mojesh da go
napravish da ne zavisi ot IP-to na interface-a, t.e. i s
dynamochno IP pak shte raboti.
Proveri dali imash tazi komanda i shte ti kaja kakvo tochno
da napravish.
Ako routerat ti go poddurja tova mojesh prosto da pusnesh
SSHD na razlichni portove i shte se connectvash kum vsichki
mashini otvun bez problem. Az dori sum zadaval koj v koi
dni, v kolko chasa ot koe IP moje da se svurzva i koga ne
moje.
|
Отговор #3 |
От: Vasil |
Дата: 10/15/2002 |
Abe tova komanda li e "set nat entry add ..."?
Az moga da ti kaja kak da si napravish forward sus cisco
router, no sus IOS 12.2
Stava s komanda "ip nat inside destination".
Pravi se edin pool i edna access-lista i mojesh da go
napravish da ne zavisi ot IP-to na interface-a, t.e. i s
dynamochno IP pak shte raboti.
Proveri dali imash tazi komanda i shte ti kaja kakvo tochno
da napravish.
Ako routerat ti go poddurja tova mojesh prosto da pusnesh
SSHD na razlichni portove i shte se connectvash kum vsichki
mashini otvun bez problem. Az dori sum zadaval koj v koi
dni, v kolko chasa ot koe IP moje da se svurzva i koga ne
moje.
|
Отговор #4 |
От: Milenn |
Дата: 10/15/2002 |
zdrasti pak.
Znachi, Stas, v momenta taka prava, kakto vav var.1
obache go iskam razdeleno, zastoto serverite ste sa na
razlichni firmi i ste stanat skandali
tochno kakto si go opisal vav V.2 go iskam. samo deto ne
stava s tazi komanda. a bi trebvalo da stane.
znachi procheti go oste vednyz kakvo sam se opitval da
naprava, to e po tvoja v.2
z
Vaska, znachi tova e Cisco 678 , sas CBOS , tova sa mu
komandite. v helpa, i documentatsiata kojato chetoh davat
slednite primeri :
User Access Verification
Password:*****
cbos>enable
Password: *****
cbos#set nat entry
Error: "set nat entry" takes the arguments: "add" or
"delete"
cbos#set nat entry add
"set nat entry add" must at least have an inside-ip address
i.e. cbos#set nat entry add 10.0.0.2
i.e. cbos#set nat entry add 10.0.0.2 69
i.e. cbos#set nat entry add 10.0.0.2 200-350 192.71.1.2
10000-10150 udp
"set nat entry add" supports the following formats:
1. cbos# set nat entry add <inside-ip>
2. cbos# set nat entry add <inside-ip> <port>
3. cbos# set nat entry add <inside-ip> <port> <protocol>
4. cbos# set nat entry add <inside-ip> <port> <outside-ip>
<port> <protocol>
5. cbos# set nat entry add <inside-ip> <portstart-portend> *
<portstart-portend> <protocol>
6. cbos# set nat entry add <inside-ip> <portstart-portend>
<outside-ip> <portstart-portend> <protocol>
cbos#
znachi probavh vsichki varianti.
po t.4 stava, no samo ako polzvam WAN-ip-to, a to e
dinamichni i se smenia nekolko puti dnevno ponekoga
vsustnost ideata e iasna, vaprosa e komandata... ili e
nekakav bug vav ciscoto? -
spetsialno
set nat entry add 192.168.0.11 22 * 20022 tcp
bi trebvalo da bachka spored mene .probvah i taka :
set nat entry add 192.168.0.11 21-23 * 20021-20023 tcp
za da e savsem po sintaksisa. komandite se priemat, no se
izpisva edin i sust IP addres :
show nat:
192.168.0.11:21-23 192.168.0.11:20021-20023 0 0x10041
tcp eth0
a tova e ot purvata mashinka deto bachka , s komadite - set
nat entry add 192.168.0.25 22 - ***** pokazvat che tva e
WAN ip-to, bez znachenie dali se smenia, neshto kato DNAT
vav iptables
192.168.0.25:23 *****:23 0
0x00041 tcp eth0
192.168.0.25:22 *****:22 0
0x00041 tcp eth0
vav vseki sluchaj ste ima derzaene, ako ne stane - ste se
puska linux router za da pravi port forward
|
Отговор #5 |
От: stas |
Дата: 10/15/2002 |
Hmm interesno i az porazgledah User Guide-a na tova
routerche i si prav, tam si pishe che sas:
set nat entry add 192.168.0.11 22 * 20022 tcp
triabva da stane.
Vij dali niama update na CBOS-a i dali tova ne e niakakv
bug.
Do kolkoto razbrah problema ne e v ssh-a, a v tova che na
razlichnite mashini triabva se runva edna i sashta programa
koito ima "fix_port" i po nachina po koito raboti tozi NAT,
moje da go forwordvash samo kam 1 mashina?
Ako tova e taka, eto i edno VPN reshenie sas mnogo
ssh-forwordvane:
set nat entry add 192.168.0.11 10022 tcp
(taka si imash ssh kam saotvetnia linux na port 10022 kakto
i ti si go misleshe)
set nat entry add 192.168.0.11 10023 tcp
tuk port 10023 shte e porta koito da sochi posle kam porta
na onazi programka deto ne moje da si go smenia, obache
ssh-a moje da forwordne zaiavkite kam tozi fiksiran port
neshto ot roda na:
ssh -L 10023:192.168.0.11:"fix_port" 192.168.0.11
Neudobstvoto tuk e che na vanshnata user-ska mashina, koiato
iska da dostigne serviza na vatreshnia linux sas "fix_port",
triabva parvo da se pusne ssh klient koito sashto da pravi
local forwording ot 127.0.0.1:"fix_port" na ->
ADSL_IP:10023.
A samata zaiavka kam tozi serviz da se startira na userskata
mashina kato: 127.0.0.1:"fix_port" (ili
localhost:"fix_port").
Po tozi nachin, veche pusnatia ssh klient (na vanshnata
userska mashina) shte forwordne ot localhost:"fix_ip" prez
ssh-tunnela i port 10023 do ADSL_IP:10023. Tam go posreshta
Cisco routercheto, vijda zaiavka za port 10023 i ia prashta
kam 192.168.0.11.
Linuxa priema ssh connectiona ot port 10023 i go preprashta
kam "fix_port" na onzi losh serviz deto ne mojel da si
smenia porta.
Kato rezultat: localhost:"fix_port" na vanshnata mashina
shte sochi kam 192.168.0.11:"fix_port" na vatreshnia linux,
minavaiki prez neshto kato VPN tunnel.
Pri tova ssh-a moje da go pusnesh s compresia primerno 10.
Taka hem vrazkata shte e otnositelno po-barza hem sigurna
:))
|
Отговор #6 |
От: Milen |
Дата: 10/15/2002 |
mda,tova e mnogo dobra idea. otdavna cheta za tia
vazmoznoasti na ssh da forwardva, ama oste ne sam
experimentiral. a izglezda mnogo lesno za vpn.
az i za VoIP-to deto imam si misleh da go pusna prez ssh VPN
|
<< Wireless (1
) | RedHat 8.0 (2
) >>
|
|
|
|
|