Pristup 'od spolja'?

[BRANKKO]

Recimo da postoji ovakva lokalna (LAN) mreza:



HUB je router koji u sebi ima modem i kaci se na Internet gde dobija javnu IP adresu dodeljenu od strane (ISP) provajdera.
Racunari u LAN-u (box1, box3) dobijaju IP adresu iz privatnog opsega od strane HUB-a (preko DHCPa)
Box2 ima nekakvu IP adresu (bilo da je fiksna, ili mu je dodeljuje box1, ili mozda preko boxa1, samo 'pretrci' i dobije IP od HUB-a - ako je ovo uopste moguce?)

E sad, na nekom od racunara u mrezi (boxX) je podignut npr WEB, FTP, SSH ili bilo kakav drugi server.

Iz LANa se njemu pristupa preko njegove lokalne IP adrese (npr. 192.168.0.10) ili preko njegovog imena (npr "homesrv").

Zanima me kako se moze njemu pristupiti od spolja? (Ako se unese onaj javni IP (koji de dobija od provajdera) pristupa se HUB-u, zar ne? - Tako sam se kacio dok sam bio na DialUp-u recimo, ali sad je mreza kompleksnija...)

Sta se tu uopste radi? Kako to funkcionise? Kako se to zove?
Zanima me pre svega funkcionisanje svega ovoga sa teoretskog aspekta, a posle i kako se to radi u praksi.

OKe, planiram da u (relativno) bliskoj buducnosti to sazvacem ozbiljnije, ali me za pocetak cisto zanima kako (se) to radi.

p0z

[RiSK]

Heh...

Tu gde si napisao HUB a mislio na ruter, ne treba da bude obican ruter vec masina koja radi NAT.
NAT (ili IP masquarading) je tehnika preslikavanja IP adresa lokalne mreze u adrese dostupne na internetu. Tako mozes tvoju lokalnu mrezu da predstavis kao jednu jedinu IP adresu spoljnjem svetu.

Pogledaj samo, NAT ima neka ogranicenja koja se pre svega ticu servera podignutih na lokalnoj mrezi.

U Linuxu se za konfigurisanja NATa moze koristiti, npr, iptables.
Da ne razvlacim mnogo pricu, baci oko na
http://en.wikipedia.org/wiki/Network_Address_Translation
http://www.howtoforge.com/nat_iptables

I naravno Googlaj

[BRANKKO]

OKe, znam za NAT, nego sam mislio da to moze nekako bez da imam server koji ce to raditi...

Ili mozda moze taj koji ce biti WEB server biti i NAT 'prevodilac'...

edit:
Heh, evo na Wikipediji, vec u prvoj recenici pise:

In computer networking, Network Address Translation (NAT, also known as Network Masquerading, Native Address Translation or IP Masquerading) is a technique of transceiving network traffic through a router...

edit2:
Evo ima i tekst na srpskom: http://sr.wikipedia.org/wiki/NAT

[dukenukem_4d]

u stvari za ovo je potrebno da se forwarduju odredjeni portovi
do masine na kojoj se nalazi taj servis (ftp ,web ili nesto trece)
http://en.wikipedia.org/wiki/Port_forwarding
(upotrebljavaju se i marketing izrazi 'virtual server' ili 'port trigerring')

ovde je prakticno ,za konkretne uredjaje (jer se razlikuje za razne uredjaje)
http://www.portforward.com/

ovo na slici HUB ako je konkretno adsl ruter
ili je stvarno hub? (odnosno ili ruter bez adsl ,mislim da imaju
nacin da im se pristupi preko telnet-a ili nesto tako ,pa im se onda vrse podesavanja) na novim uredjajima se podesava iz web-interfejsa

ovo nije potrebno akoo je u HUB-u ugradjen  uPnP
http://en.wikipedia.org/wiki/Universal_Plug_and_Play

edit: do box 2 jedino nisam siguran da li i kako se dolazi?
 a ovde je graficki objasnjeno (potrebna je ukljucena gif animacija)
http://www.azureuswiki.com/index.php/PortForwarding

[BRANKKO]

Pa u mom slucaju konkretno, radi se o ADSL Wireless Routeru...

Padalo je i meni na pamet da npr forwardujem portove 80 na jednu masinu i 8080 na drugu... no to vrsi pos'o ako se 'redirektuje' WEB server...

Ovo sa NATom je efikasnije u smislu da sve moze (a i ne mora sve, moze selektivno) da se redirektuje na neku od masina... (ali moze doci do opadanja performansi... ako sam dobro razumeo...)

edit: Evo linka za Port Address Translation: http://en.wikipedia.org/wiki/Port_address_translation

[dukenukem_4d]

valjda ovo zavisi od mogucnosti konkretnog uredjaja?
nat uvek funkcionise ali za adrese, i cini mi se prema spolja
ali da bi ruter znao gde da usmeri zahtev od spolja prema nekom kompjuteru
koji je unutra mora eksplicitno da mu se kaze  ili port forwarding ili pat
ili ako ima upnp onda automatski zna sta je gde otvoreno na kom kompjuteru
i onda prema tome prosledi zahtev(pristup servisu koji je na nekom portu)
jedino je u tom slucaju (upnp) unutrasnja mreza ranjivija,

[BRANKKO]

Evo i mene posle iscitavanja tekstova po netu i treznjenja posle doceka NG

Dakle ono sto sam saznao je da se NATovanje podrzavaju skoro svi rout-eri (bar bi tako trebalo da bude) da se moze izvesti delimicno/selektivno i u potpunosti.

Moze se port-forward-ovati odredjeni port, npr 80 za web server na racunar u LANu koji ima dignut Apache i sl. A moze se i sav saobracaj preusmeriti na jedan komp i to se zove DMZ.

Isto tako sam saznao da router koji koristim(o) (Linksys WAG200G) podrzava sve ove opcije, no kako je on u vlasnistvu mog cimera, moracu sa njim da se dogovorim oko igranja sa istim 

Posto sam razresio nedoumice oko funkcionisanja svega ovoga (i procitao svasta o HUBovima, SWITCHevima, ROUTHERima i ostaloj mreznoj opremi) zanima me jos samo ona stavka sa slike izmedju Box1 i Box2 konekcije.

Dakle, koje su sve moguce (izvodljive) kombinacije za dodeljivanje IP adrese masini Box2?

• Dinamicka adresa od strane DHCP-a [HUBovog]
• Dinamicka adresa od strane DHCP-a [sa Box1]
• Staticka adresa hard-codovana u Box1

Posto je on fizicki vezan samo za Box1, a preko njega pristupa ostatku mreze... Dakle nesto kao LAN u LANu...
Tom logikom moguce je sve ovo sto je moguce i u prethodnom primeru (gde se natovanjem cela mreza maskira/demaskira preko reoutera) samo sto bi ovde imali natovanje natovane IP adrese 

Ehhh sad svi oni povezani (usmereni/neusmereni) grafovi imaju smisla, ako se gledaju kroz definiciju teorije haosa 

[dukenukem_4d]

Bas fino (mislim na ovo za igranje)

Dakle, koje su sve moguce (izvodljive) kombinacije za dodeljivanje IP adrese masini Box2

   staticke adrese za box2 i drugu karticu na box1 (iz razlicitog opsega adresa od wag200)
a posle iptables za preusmeravanje neta kroz box1(ako je linux na box1)-ovo funkcionise
sa ruterom u kombinaciji,proverio (jer obicno u primeni na box1 ide direktno ppp)
mogu da ispisem upotrebljene tables,ako uspem da pronadjem papiric iz gomile papira na stolu

heh,bas lepo izgleda ,ima i antenicu

[neur0]

Mozes i staticku, a mozes i preko DHCP (sa box1) mada mislim da ti nece biti potrebno da dodajes rute, jer je box1 direktno vezan i za Linksys i za masinu (tj zna gde su te mreze).
Naravna treba ti default ruta (default gatway).
Duke, na sta tacno u IPtables mislis?

[dukenukem_4d]

U suštini za iptables je standardno:
ako je eth0=internet do rutera ,eth1=mreža sa box2

iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

ip adresa na box 1 (eth0 dobija iz rutera preko DHCP)
  ifconfig eth1 169.254.1.1 up

route -n   treba nesto ovako da ispiše (na box1)

Kod:

169.254.1.0              255.255.255.0      U    eth1
   10.0.0.0              255.0.0.0          U    eth0
  127.0.0.0              255.0.0.0          U    lo
    0.0.0.0  10.0.0.2      0.0.0.0         UG    eth0

i podešavanje za box2 je bitno
na linuksu:
  ifconfig eth0 169.254.1.39
  route add default gw 169.254.1.1 dev eth0

i u /etc/resolv.conf da se stavi (ili dopiše? ili zameni)
nameserver 10.0.0.2
(ovo 10.0.0.2 je adresa adsl rutera ,ako se na wag200 koristi 192.168.1.1
onda to i da se stavi)

route -n na box2

Kod:

169.254.1.0              255.255.255.0      U    eth0
  127.0.0.0              255.0.0.0          U    lo
    0.0.0.0  169.254.1.1   0.0.0.0         UG    eth0

box2 na wind. ,u onom jezičku za ip nešto ovako:
ip :    169.254.1.39
netmask : 255.255.0.0 ili 255.255.255.0 ?
default gw: 169.254.1.1
DNS  : 10.0.0.2

[BRANKKO]

thx duke, sad mi je sve razjasnjeno 

p0z

[dukenukem_4d]

ima još nešto bitno (skoro da sam zaboravio)
kada ruter (Hub) deli konekciju ,verovatnoća je da ne
vrši pravilno raspodelu propusnog opsega
već ono kako se kome zalomi (između Box1 i Box3)
i koji kompjuter preuzme više konekcija

na novijim uređajima postoje neka podešavanja obično pod
QoS(Quality of service) ali je često to samo marketing i ne radi
kako treba

kao posledica ovoga mogu da padnu teške reči između korisnika Box1 i Box3
za box1 i box2 sa druge strane postoje skripte pomoću kojih
linux na box1 vrši preraspodelu opsega(mislim da je bilo pre mesec-dva o tome)

[BRANKKO]

E tu si u pravu. Redovno se zabaguje router, pa na jednom cak i pingovanje zastane...

Izgleda da je najbolje da se sve svali na jedan komp, koji bi bio 'server' pa sa njega da se raspodeli na dalje...
No u slucaju da je taj 'server' pod Windows-om, obicno za sebe preuzme veci deo konekcija, a ostalima da po koju mrvicu...

[dukenukem_4d]

e nešto sam malo čudno napravio
ovako, ide sa drugog kompjutera na onaj prvi ali preko rutera
s tim da su mu promenjene tabele rutiranja na ruteru
tako da su usmerene na glavni komp

a na glavnom je iptables u obliku firestartera
(samo treba da se omoguce konekcije sa  drugih kompova u inbound trafic policy
kao i sa glavne 10.0.0.2)
sada ovaj kabl eth1 sto je preko njega dolazio net ,on odvodi net dalje u suštini
a nije bilo potrebno resetovanje rutera za ovu operaciju

[dukenukem_4d]

ok iako je malo odavno... 
Pomoću ovog prethodnog ,kada se usmeri na određeni ip
ali sa dodatkom...
da je bridžovan
pa onda sam probao da postavim pppoe i da  se vrati dalje net
(firestarter ili slično) kroz isti kabli
i čak i funkcioniše ,nego nisam nešto mnogo testirao
(valjda je dobro što je full duplex na 100Mbita?)

i tada idu signali preko bridža pa ppp0 je konekcija ,rutirana
dalje nazad na eth0 i ka ostalima u mreži
a nekako može da se namesti da za operaciju nije neophodan restart ovog rutera
i da se ili sam konektuje ili da šalje kao bridge.

ideja bi bila da posle na kompu bude neki QoS ,one skripte ,myshaper
ili tako nešto ,da bude delio na ravne časti,bez obzira na obsolite hardware (ruter)
koji to ne podržava.

u praksi najverovatnije su uska grla što idu puno tamo vamo signali
i nisam siguran da li će moći protok da se održava dobar

ako hoće da isproba još  neko ovo ,ne znam tačno još ove shapere da ih postavim
(i da li imaju neki konflikt sa firestarterom)
al'baš je interesantan koncept...