port forwarding

[ZioManullo]

Salve

Ho una rete di questo genere



La macchina Proxy-Dhcp svolge il ruolo di gateway predefinito per la lan.

Essa è dotata di due interfacce di rete:

eth0 connessa alla LAN con IP 192.168.10.254
eth1 connessa al router con IP 192.168.0.3


La domanda è questa.

Su PC1 (IP 192.168.10.253) gira "la parte server" di un software che devo usare.

Tramite un altro pc esterno alla lan (dislocato in Internet) vorrei raggiungere PC1-

Come posso fare?

Mettiamo che :

X.Y.Z.T è l'IP pubblico del router.
192.168.10.253 è l'IP locale del server
P (protocollo tcp) è la porta su cui è in ascolto la "parte server" del software.

[Rizio]

Se il pc è uindos ed è presidiato la cosa più facile che puoi fare è usare teamviewer; semplice, gratuito e indolore.
Se invece vuoi complicarti la vita per la mancanza di almeno uno dei suddetti fattori personalmente la vedo grigia perchè dovresti far fare nat al tuo router verso il proxy e nat al proxy verso il pc....non sò nemmeno se sia fattibile.
Io, nel secondo caso, cercherei di risolvere il problema creando una dmz sul router nella quale metto il pc con il software che devo usare e gestisco le sicurezze ed i nat sul proxy (iptables se è un linux come mi sembra di ricordare) e sul router verso un punto in comune.

Imho è la soluzione migliore.

Rizio

[Raistlin]

Usare un tunnel e far fare routing da li per poi nattare il traffico?

[ZioManullo]

Nono non è uindos ma Debian

Quindi dovrei fare il forwarding delle richieste dal router all'interfaccia eht1 del proxy. poi dal proxy al pc se non ho capito male

[Rizio]

Il pc che fornisce il servizio è debian? E' un servizio http?

Cmq si, dovresti fare 2 static nat ma ripeto, non sò se funziona, ne dubito (al proxy arrivano pacchetti già nattati dal router e imho succede del casino con gli header dei pacchetti ma se vuoi provare son ocontento così mi sai dire se va), magari sbaglio eh.

Se il servizio che vuoi esporre è http potresti anche valutare la soluzione di un reverse proxy sulla macchina proxy così te la cavi con solo il nat sul router (che siamo certi che và) verso il proxy server dove pubblichi il servizio interno con un reverse proxy (normalmente apache ma anche altro). Questo potrebbe essere un altro sistema.

Quello che diceva Raistlin del tunnel non saprei come farlo, mi piacerebbe se approfondisse se gli va.

Rizio

[ZioManullo]

Sisi Debian

E' un servizio tcp, porta 3170 (anche se ieri ho controllato e sembrava stesse in ascolto sulla 3136..... possibile che ogni volta che il software si avvii cambi la porta in cui è in ascolto ? )

Comunque non sò se lo conoscete ma il software si chiama Mkahawa

[Rizio]

No, non lo conoscevo ma sembra abbastanza completo come software. Purtroppo non mi sembra più supportato da 3 anni però mi sembra completo.

Riguardo al cambio di porta no, escludo che un programmatore sano di mente lasci la porta tcp di accesso alla console dinamica!!!
Ed essendo sostanzialmente un'interfaccia web mi sembra possibile che funzioni attraverso un reverse proxy, prova a dare un'occhiata e a fare qualche prova ma per quanto ne sò io è la soluzione più semplice e concentri tutto sul proxy (nel bene e nel male ovviamente).

Rizio

[ZioManullo]

Purtroppo sembra proprio che ascolti sempre su una porta diversa (sempre sui 3000).

Per quanto riguarda il reverse proxy sai spiegarmi come funziona ?

Magari puoi linkarmi un pò di materiale

[Rizio]

Mi sembra un comportamento veramente stranissimo che non rimanga in ascolto su una porta di default, prova a guardare nei file di conf del software.

Riguardo al reverse proxy di spunti in rete ne trovi un'infinità, giusto per citartene alcuni puoi guardare questi:
http://www.apachetutor.org/admin/reverseproxies
http://httpd.apache.org/docs/2.4/mod/mod_proxy.html
http://blog.lundscape.com/2009/05/confi ... th-apache/

Sostanzialmente il suo funzionamento è rigirare verso un altro host le richieste che gli arrivano "riscrivendo" le richieste secondo parametri forniti da te. Tu chiedi la pagina pippo.html sul server disney sulla rete internal (perciò la tua richiesta sul browser sarà http://disney.internal/pippo.html) e lui te la rigira sul server pixar.com magari prendendo la pagina index.html (perciò diventa http://pixar.com/index.html) e presenta il risultato al tuo browser come se niente fosse.
Le regole di rewrite gliele dai tu e con un pò di pratica si riescono a fare delle belle cosine. E' usato anche per gestire un minimo la sicurezza di server in dmz (o in inside a seconda) perchè, oltre alle regole di rewrite puoi usare anche l'autenticazione di apache ed eventualmente l'ssl per crittare il traffico di applicativi che normalmente non lo farebbero.

Personalmente lo trovo un metodo abbastanza sicuro e molto configurabile anche se, come sempre, devi metterlo in piedi con attenzione perchè esponi comunque un server interno/dmz verso internet e con i bot che girano ora è un attimo trovare una falla nelle tue regole di rewrite e riuscire ad aggirarle.

Rizio

[Raistlin]

il router ha memoria sufficente per ospitare una SSL vpn?
In caso hai molto spazio sulla flash del router puoi installare i file per mac-windows-linux (o unicamente linux) e puoi accederci tranquillamente da dove vuoi (ovviamente se metterai l'immagine per linux significa che dal tuo lato c'è una macchina linux e non potrai mai usare la ssl vpn per terminali mac-winzoz) Se non erro l'immagine per ogni sistema operativo è tipo di 25 mega +/- (onestamente non ricordo).