Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Dynamisk/statisk NAT'ing utifra port og hostname

jocke

Av jocke
i Internett og nettverk

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
AzureCloud

AzureCloud

Skrevet
Skrevet
DragonXP: Hele poenget med denne tråden er at det skal unngås, slik at jeg kan skrive inn "minpc.domene.com" i stedet for å kjøre på en annen port og sette opp portforwarding i en router. ;)

OK, for HTTP har du slik funksjonalitet i Microsoft ISA Server 2004. Den kan rute til forskjellige maskiner på intern-nettet basert på hostname. Men ISA Server 2004 er kanskje heller ikke aktuelt for deg?

Lenke til kommentar
bjarneb

bjarneb

Skrevet
Skrevet

Er ikke ofte jeg er negativ når det gjelder å løse problemer, men her tror jeg nesten like godt at du kan gi opp :(

 

"Problemet" med ren tcp/ip i forhold til f.eks http er at det ikke blir sendt med hostname i kallene.

 

Jeg antar at det du vil er noe ala Virtual Hosting eller reverse proxing for http, nemlig at du kan registrere flere DNS navn på samme IP og la requestene bli dirigert til rett maskin utifra hostnavnet.

 

For http er jo dette enkelt. når du skriver http://pc4.hjemme.asparges.net/ hiver browseren automatisk med en header - Host: pc4.hjemme.asparges.net. Webserveren tar imot denne requesten og titter på Host headeren for å finne ut hva den skal gjøre med den. Dersom det er en vitual name based host for dette hostnavnet brukes den ellers brukes default.

 

For IP blir det annerledes. Her snakker du jo rett med socketen og det er ingen logikk som tilsvarer den logikken som ligger i web-servere.

 

Var jeg deg ville jeg gått for en VPN løsning eller "fake" en vha ssh servere og ssh-klienter med port-forwarding. Da ville f.eks en løsning være at alle "Vennene" satt opp hver sin ssh server. Alle "Vennene" ville også måtte ha ip-adresser til alle pc-ene i nettet. (PC1-PC7). Dette er enkelt. ved å gi et nettverkskort flere ip'er. Så når en "Venn" skal kontakte pc4 går han først mot sin "lokale" pc4-ip - der treffer den en ssh-port forwarding som forwarder til eiren av PC4 sin ssh server. Denne ssh serveren (dersom den ikke er pc4) forwarder så til PC4.

 

Ingen enkel og oversiktelig forklaring men det var iallefall et forsøk... :-)

 

funker fint for meg i alle fall :-)

Lenke til kommentar
jocke

jocke

Skrevet
  • Forfatter
Skrevet

Mitt ønske er det samme som geezuzz (sorry, gidder ikke skrive case sense :) ).

 

Må da kunne gå ann å emulere dette på set sett. Om domene.com peker med A-records til min faste IP-adresse heme, er det klart at out-of-the-box vil ikke servern (server.domene.com) klare å skille mellom forespørsel til server.domene.com, minpc.domene.com eller domene.com.

Men det må da kunne være mulig å gjøre dette på et vis? Kjenner da til flere bedrifter som har diverse subdomains rettet til forskjellige servere internt. Men det er vel kanskje fordi dem er faste?

 

For all del, dette er ikke et must - gode gammle NAT'ing kommer man ikke utenom uansett. Men hadde vært litt kult å fått det til - f.eks. til remotedesktop, og andre kjekke ting.

Lenke til kommentar
bjarneb

bjarneb

Skrevet
Skrevet

¨Tror ikke dette er så lett - problemet ditt er at når du bruker tcp/ip så er det klienten som gjør dns oppslaget. Når den har gjort dette oppslaget gjør den faktisk forespørselen til serveren baser på ip-adresse og all dns informasjon er borte-borte. Serveren som lytter på porten (f.eks 22 - ssh) aner ikke hvilket dns navn klienten spurte etter - det eneste den vet er at den får en forespørsel inn på porten sin. Det er helt nødvendig at det er bygget inn nødvendig støtte i både server applikasjonen ov klient-applikasjonen som skal snakke med serveren for at den server-applikasjonen skal kunne skille mellom hvilket dns-navn som ble brukt i kallet.

 

Begge mine forslag vil oppfylle ditt ønske - ssh til pc4.blabla.no vil havne til riktig pc4. ssh pc7.blabla.no vil havne til riktig pc7.

 

Har ikke sett noen gratis vpn løsning ennå, men har ikke lett heller - de finnes sikkert. En VPN løsning ville nok være det enkleste å administrere siden SSH løsningen vil kreve at du går inn og legger til portforwardinger etter hvert som du trenger dem. Dersom du pluteselig skulle ha behov for å nå en SMTP server på pc6 ville du måtte gå inn på din ssh connection til pc6 og legge til port 25...

Lenke til kommentar
Micromus

Micromus

Skrevet
Skrevet

Problemet ditt er at du kun har en offisiell ip-addresse, det du på en måte spør om er at addressene 193.231.212.90:21 og 193.231.212.90:21 skal peke til ftp servere på pc7.domene.no og pc4.domene.no, respektivt, ved nøye observasjon er addressene helt 100% like, og det må difor magi til for å forwarde trafikken rett...

 

Du kan jo evt lage ditt eget lag 5 da, med enda et lag multiplexing?

Lenke til kommentar
arokh

arokh

Skrevet
Skrevet
Mitt ønske er det samme som geezuzz (sorry, gidder ikke skrive case sense :) ).

 

Må da kunne gå ann å emulere dette på set sett. Om domene.com peker med A-records til min faste IP-adresse heme, er det klart at out-of-the-box vil ikke servern (server.domene.com) klare å skille mellom forespørsel til server.domene.com, minpc.domene.com eller domene.com.

Men det må da kunne være mulig å gjøre dette på et vis? Kjenner da til flere bedrifter som har diverse subdomains rettet til forskjellige servere internt. Men det er vel kanskje fordi dem er faste?

 

For all del, dette er ikke et must - gode gammle NAT'ing kommer man ikke utenom uansett. Men hadde vært litt kult å fått det til - f.eks. til remotedesktop, og andre kjekke ting.

Flere har nå forklart deg her at dette IKKE ER MULIG. Det er rett og slett ikke teknisk mulig, ferdig. Det går ikke an å "emulere" dette på noen måte. Bedrifter bruker ikke NAT, de har egne ip-addresser for alle maskiner. Den eneste løsningen som fins for deg er port-forwarding for alle tjenester du vil tilby. Capiche?

Lenke til kommentar
jocke

jocke

Skrevet
  • Forfatter
Skrevet
Flere har nå forklart deg her at dette IKKE ER MULIG. Det er rett og slett ikke teknisk mulig, ferdig. Det går ikke an å "emulere" dette på noen måte. Bedrifter bruker ikke NAT, de har egne ip-addresser for alle maskiner. Den eneste løsningen som fins for deg er port-forwarding for alle tjenester du vil tilby. Capiche?

Du er så sur for da? Hvis du leser innlegget som barjneb skriver, ser du at det faktisk finnes to muligheter. Og OM det tilsynelatende ikke skulle gå, kan vi da vel diskutere emnet? Eller er det òg "capiche"?

Lenke til kommentar
laaknor

laaknor

Skrevet
Skrevet

VPN vil si at alle som skal ha tilgang inn på nettverket får full tilgang inn på nettverket, men at de må ha brukernavn og passord på forhånd + en klient. Er vel noe av det samme du gjør på en ssh-tunnel, bare at det er mer jobb å vedlikeholde

 

ISA-server er ikke det eneste produktet som støtter reverse proxy; squid greier det, og såvidt jeg veit så gjør også apache det.

 

 

En ting du kunne vurdert var IPv6. Da har du mulighet til å få offisielle adresser til alle maskinene.....

 

 

Men den konkrete metoden du beskriver er ikke teknisk mulig.

Lenke til kommentar
morbo

morbo

Skrevet
Skrevet

Såvidt jeg har skjønt ut i fra forklaringen din ønsker du å kjøre en egen DNS-server.

Slik jeg har gjort det kjøpte jeg et domene fra gkg.net, og lot denne peke til routeren for hjemmenettet mitt. Hvis jeg ønsker å legge til subdomener eller MX-, C-, TEXT-records gjør jeg dette i gkg.nets kontrollpanel. På den måten slipper du å kjøre din egen DNS-server på hjemmenettet. Hvis det derimot er nettopp det du vil må du få noen til å peke "dittdomene.tld" til routeren din eller til en maskin NATet bak routeren.

 

Jeg forsto det slik at du også lurer på dynamisk NAT? Da bør du ta en kikk på UPnp.

UPnP fungerer slik at UPnP-servere og -routere sender hverandre informasjon om hvilke porter og tjenester som kjøres på hvilke servere på ditt nett, og routeren NATer da innkommende requests til riktig maskin automagisk.

 

UPnP er relativt nytt og innebærer en del sikkerhetsrisker så det er som oftes slått av som default i servere og routere.

 

Linker:

http://www.zyxel.com/support/supportnote/p324/app/upnp.htm

http://hometoys.com/htinews/aug01/articles...rosoft/upnp.htm

http://support.microsoft.com/default.aspx?...kb;en-us;323713

 

Cheers

Rolf

Lenke til kommentar
laaknor

laaknor

Skrevet
Skrevet
Jeg forsto det slik at du også lurer på dynamisk NAT? Da bør du ta en kikk på UPnp.

UPnP fungerer slik at UPnP-servere og -routere sender hverandre informasjon om hvilke porter og tjenester som kjøres på hvilke servere på ditt nett, og routeren NATer da innkommende requests til riktig maskin automagisk.

UPnP vil kun fungere dersom det er programmer på innsiden av nettverket som ber routeren åpne opp en port for den, så vil den bruke den, og be routeren som å stenge igjen. Det er ordentlig dynamisk men ikke det det bes om her. Det er snakk om at utsiden av Nettet skal binde dynamisk, noe som ikke er teknisk mulig, og hadde det vært mulig å gjøre med UPnP så tror jeg ikke det bare hadde vært disablet som default, men også lagt inn sperrer for at du hadde mulighet til å installere det på routeren, for det ville vært en _ENORM_ sikkerhetsrisiko som fungerte på tvert motsatt måte av en brannmur, og heller prøvde å få intrengerne inn på nettverket.

Lenke til kommentar
jocke

jocke

Skrevet
  • Forfatter
Skrevet
Finnes mange gratis IPv6 tilbydere. Det de tilbyr er IPv6 tunneler som gjør at du kan bruke IPv6 mot andre IPv6-hoster. Har ikke giddi å se noe særlig på det ennå (har tenkt til å gjøre det så fort jeg får opp den nye linuxboxen på DMZen hjemme)

Jo, det er greit nok. Men dette vil da vel ikke fungere opp imot IPv4? Da må i så fall routeren har sykt mange ip-adresser, om jeg f.eks. har 20 stk på LAN, samt at da alle disse skal knyttes indirekte opp mot IPv4-adresser? eller?

Lenke til kommentar
oblivian

oblivian

Skrevet
Skrevet (endret)
For Remote Desktop kan du få til dette ved å benytte forskjellige RDP-porter på de forskjellige maskinene (ikke bare default 3389). Ikke akkurat løsning via DNS, men det fungerer slik at du kan rute remote desktop til riktig intern maskin via ADSL boksen.

Ja, det gjør ihvertfall jeg her. Har 3-4 maskiner i nettverket som som er tilgjengelige via RDC, og jeg har bare satt de opp til å lytte på forskjellige porter og så NAT'et via routeren. Men det er kanskje ikke akkurat dette GeeZuZz tenker på...?

 

EDIT: Ai, sorry missa side 2. Old news med andre ord...

Endret av oblivian
Lenke til kommentar
_mgr_

_mgr_

Skrevet
Skrevet

Hvis du hadde brukt en linux-boks som router, ser jeg for meg at du kunne mekket en webside man logger seg på, og får presentert hvilke maskiner man kan nå på innsiden. Basert på valg gjort på websiden, manipuleres iptables til å forwarde trafikk fra klients IP til ønsket mål. Ikke helautomatisk, men fortsatt et skritt nærmere målet :)

 

Eller:

Du mekker statisk portforwarding og har en webside som har linker man kan trykke på for å bli videresendt til rett maskin:port. Fortsatt ikke helautomatisk, men fortsatt en forenkling.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...